標的とされた企業は、判明後にフィッシング耐性のあるMFAを選択

Brett Winterford  and  Tim Peel
January 23, 2025

Okta Securityの調査によると、脅威アクターに標的とされた企業は、標的が判明した後になって初めてフィッシング耐性のあるサインイン方式に移行しています。より強力な認証ツールに移行させるコストと複雑性が低いのにも関わらず、なぜ標的とされたことが判明するまで待つのでしょうか?

Okta Securityの調査によると、MFA(MFAとは?)の導入率の伸びは鈍化しているものの、Okta FastPassやFIDO2などのフィッシング耐性のある多要素認証(MFA)方式の利用は急増しています。

全体として、Oktaのお客様はMFAを積極的に採用しています。2024年1月時点で、Oktaの「Secure Sign-In Trends Report 2024」によると、Okta管理者の91%、Okta Workforce Identity Cloudユーザーの66%がMFAを使用してアプリケーションにサインインしていることが判明しました。

Okta Workforce Identity CloudのMFA要素で最も成長が著しかったのはOkta FastPassで、Oktaの全ユーザーでは2023年の2%から2024年には6%に、Okta管理者では1年前の5%から13%に増加しました(Secure Sign-In Trends Report 2024から引用)。これにより、何百万人ものユーザーがパスワードレスを実現していることがわかります。Oktaプラットフォーム上のユーザーの5%以上が、フィッシング耐性のあるパスワードレスのAuthenticatorを使用して何度もサインインし、全くパスワードを入力する必要がなくなったのです。

なぜこれほど多くのお客様がすべてのユーザーにフィッシング耐性を採用しているのに、大半の企業は依然としてパスワードとOTPを使用し続けているのでしょうか?

Okta Securityは、Okta FastPassとFIDO2が他のどのサインイン方式よりも大幅に速いペースで成長している理由の一部を解明するために、独自の調査に着手しました。

これらのサインイン方式がユーザーにとってより便利であることは、経験的に分かっています。Okta FastPassは、パスワードとOTPベースのチャレンジを組み合わせるよりも数倍速く、4秒未満で「所有」と「生体」の要素を提供するように設定できます。また、多くの規制当局や諮問機関(米国サイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)豪州サイバーセキュリティセンター(ACSC)など)が、成熟したセキュリティプログラムへの取り組みを実証したい組織に対して、フィッシング耐性のあるMFAを推奨していることも知っています。

Okta Securityは、フィッシング耐性要素の採用増加に、脅威アクターの存在が影響しているかどうかを明らかにしようと試みました。Oktaは、このインサイトを提供できる独自の立場にあります。

  • Oktaは、Okta Workforce Identity Cloud全体で匿名化されたMFAの採用率を複数年にわたって収集しており、そのデータベースは強固な基盤となっています。このデータは、毎年のOkta Secure Sign-In Trends Reportで公開されています。
  • フィッシングキャンペーンを特定の脅威アクターにクラスター化し、帰属させる信頼性の高い方式を採用しています。Okta Securityは、お客様のサインインページを模倣したフィッシングインフラストラクチャが構築されたことを確認すると、毎日多数のお客様に報告しています。これまでに数千件の通知を報告しており、直近の3か月間だけでも600件近くに上ります。

このデータがあれば、特定の脅威アクターに狙われたことがわかっている統計的に有意なカスタマーグループを抽出し、そのグループが最初に狙われた前後のフィッシング耐性のあるMFA要素へのユーザー登録率を比較することができます。また、これらの登録率を、Okta Workforce Identity Cloud サービス全体で観測された登録率と比較することもできます。私たちの仮説は、脅威アクターから攻撃を頻繁に受け、戦いに慣れている組織は、時間の経過とともにより強力なMFA要素を選ぶようになるというものでした。

私たちは、この調査で「Scatter Swine」に焦点を当てることにしました。Scatter Swineは、Oktaが2022年に命名した、攻撃を繰り返す脅威アクターの名称で、他の組織が「Scattered Spider」、「Muddled Libra」、「Octo Tempest」として識別しているより広範なグループの一部です。これらの脅威アクターは、標的をロックオンすると容赦なく大量のキャンペーンを展開し、多くの場合、複数のドメインを登録し、数十人、あるいは数百人のスタッフを標的としてSMSフィッシングメッセージを送信します。

当社の調査では、2022年から2024年初頭にかけてこのグループの標的となったことが判明している35の組織を対象に、Oktaから攻撃の危険性を最初に通知した日と、2024年3月を比較して、フィッシング耐性要素の導入率を測定しました。

調査結果

私たちが立てた仮説は概ね正しいことが判明しました。

これらの企業におけるフィッシング耐性要素の登録率の中央値はすでに23%であり、これはOktaの平均的な顧客の2倍以上の率でした。これらの企業の多くは、もともとより強固なセキュリティ対策を必要とする傾向にあるテクノロジー観点で成熟した企業でした。

Scatter Swine before and after MFA blog

企業が標的にされていたことに気づくと、強力なMFA要素の登録率は23%から95%に急上昇しました。大半の企業は、FIDO2認証で少数の特権ユーザーを保護するのではなく、1つ以上のフィッシング耐性のあるMFA要素にすべてのユーザーを登録するようになりました。多くの企業では、Okta FastPassにユーザーを100%登録しても、FIDO2ハードウェアセキュリティキーをリカバリキーとして維持していました。

このような標的にされた企業と、そうでない企業の違いは何でしょうか?

  • 標的にされた企業は、ログストリーミングを使用して認証ログをリアルタイムで取得している可能性がはるかに高いです。これは、このテレメトリのアクティブな監視を強く示唆しています。
  • Okta Workflows(コード不要の自動化)の数が平均より多く、アイデンティティプロセスを自動化している可能性がはるかに高いです。
  • Oktaが提供する基本的な保護機能(大量攻撃から保護するThreatInsightなど)を有効化している可能性が高いです。

それでは、なぜ標的にされるまで待つのでしょうか? 脅威アクターは現在、基本的なMFAのほとんどをバイパスできるツールに簡単にアクセスでき、より効果的なフィッシングキャンペーンを大量に展開しています。

このような環境下では、すべての企業がフィッシング耐性認証を採用する必要があると私たちは考えています。当社のデータによると、パスワードレスでフィッシング耐性のある認証は迅速に導入でき、リスクを即座に低減できることが示されています。

フィッシング耐性を導入した結果、特定の攻撃カテゴリーを気にかける必要がなくなったというお客様の声が寄せられています。

Brett Winterford
Brett Winterford
APJ担当リージョナルCSO

APJ担当リージョナルCSO(チーフセキュリティオフィサー)として、APJ地域のビジネスリーダーやテクノロジーリーダーに対して、進化する脅威に関してアドバイスを行い、アイデンティティ技術の進化を活用してビジネスの成果を上げ、リスクを軽減できるよう支援しています。

Okta入社以前は、シマンテックでシニアリーダー職を務め、Commonwealth Bankではセキュリティ管理、リサーチ、教育などを指揮していました。

また、iTnews Australiaの編集長を務めたほか、ZDNet、Australian Financial Review、Sydney Morning Heraldに記事を寄稿するなど、ジャーナリストとしての経験も持っています。

最近では、Risky Businessポッドキャストに付随するSeriously Risky Businessニュースレターの創刊編集者を務め、サイバーセキュリティ、ポリシー、防御、インテリジェンス・コミュニティに対して、サイバーポリシーを形成するニュースを毎週提供しています。

Follow Brett Winterford
Share on Linkedin
Tim Peel
Tim Peel
Director of Threat Analysis and Research

Tim Peel is the Director of Threat Analysis and Research at Okta, where he leads the global threat intelligence, research, and adversary emulation teams. He has over 15 years of experience in the government, financial, and technology sectors, performing intrusions analysis, cyberthreat intelligence, incident response, and detection engineering roles. Tim is passionate about the practical application of threat intelligence and research. By researching, analyzing, and sharing each of our unique insights into how threat actors are targeting and compromising organizations, we can uplift the collective security of the entire ecosystem.

Tags

セキュリティ Phishing-Resistant MFA MFA (Multi-Factor Authentication)
Previous
Next

January 6, 2025

2025年のアイデンティティ攻撃に関する5つの予測

By Brett Winterford Tim Peel Moussa Diallo
このブログはこちらの英語ブログ(2025年1月6日公開)の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。 新年が到来し、新しい決意、可能性が生まれます。そして、残念なことに、新しい脅威ももたらされます。 しかし、攻撃者はカレンダーが変わるだけで攻撃方法を変えるわけではありません。むしろ…

今すぐ読む

October 23, 2024

フィッシング耐性のあるMFAが大きく進展

By Todd McKinnon
本日、Oktaは第2回Secure Sign-in Trends Reportを公開しました。これは、職場における多要素認証(MFA)の利用状況を分析した年次レポートです。 このレポートは、OktaのWorkforce Identity Cloudのお客様からの匿名化データを集約し…

今すぐ読む

August 16, 2024

「SMBs at Work 2024」レポート:SMBが自動化を牽引

By Okta
このブログはこちらの英語ブログ(2024年8月16日公開)の参考和訳です。 新しいテクノロジーの採用を牽引している中小企業(SMB)のトレンドからは、革新的なプラクティスに関する貴重な洞察を得ることができます。 大企業は比較的既存の方法に固執しがちですが…

今すぐ読む

August 5, 2024

「SMBs at Work 2024」:中堅・中小企業のセキュリティ導入状況の紹介

By Okta
このブログはこちらの英語ブログ(2024年8月5日公開)の翻訳、及川大樹によるレビューです。 中堅・中小企業(SMB)は、若くて勢いがあり、変革を推進する存在です。新しいテクノロジーの導入に積極的で、ビジネスの変革をリードしています。 これは、エンジニアリング、自動化、AIの分野に当てはまりますが…

今すぐ読む

August 1, 2024

Okta FastPass:フィッシング耐性のあるMFA

By Mike Witts
このブログはこちらの英語ブログ(2024年8月1日公開)の翻訳、井坂 源樹によるレビューです。 世界中のセキュリティ担当者は、強固なセキュリティと優れたユーザーエクスペリエンスの両方を提供するという共通の課題に直面しています。変化と進化が続く状況で、すべてのオプションを把握するのは困難です。求められているのは…

今すぐ読む