シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策
- ありがとうございます!
- いいね!した記事一覧をみる
セキュリティ機能をバイパスする攻撃手法の登場
データ漏えい・侵害の被害件数が年々増加している。米ベライゾンの2022年調査によると、その原因の1位は「ユーザーIDやパスワードの漏えい、弱いパスワード」といった認証情報の不備だ。さらに、データ侵害におけるランサムウェアの割合は、前年より13%増加して25%に。ランサムウェアの侵入経路は、リモートデスクトップなどの共有ソフトからが40%だった。攻撃者は、リモートアクセス認証の脆弱性を利用する。すべてのトラフィックを疑い、常に認証するというゼロトラストの概念から考えると、信頼できるユーザーや信頼できるデバイスの認証により力点を置く必要がある。
そのため、PCからログインした後、登録したスマートフォンでさらに認証を行うといった多要素認証の導入が増えている。登録済みのデバイスだけにアクセスを許可するデバイス認証なども、実施済みもしくは導入検討中の企業が多い。
ただし、多要素認証も完璧ではない。2022年10月、米国サイバーセキュリティ・社会基盤安全保障庁「CISA」が公表した多要素認証に関するガイダンスでは、一部の多要素認証をバイパスする攻撃手法が散見されたのだ。こうした攻撃にどのように対策するべきだろうか。
以降では、シスコシステムズの侵害事例も交えながら、最新の多要素認証も含めたセキュリティ対策の最前線を紹介する。
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!