2025年のアイデンティティ攻撃に関する5つの予測

このブログはこちらの英語ブログ（2025年1月6日公開）の参考和訳です。原文と内容に差異がある場合は、原文が優先されます。

新年が到来し、新しい決意、可能性が生まれます。そして、残念なことに、新しい脅威ももたらされます。

しかし、攻撃者はカレンダーが変わるだけで攻撃方法を変えるわけではありません。むしろ、これまで効果があった攻撃方法をさらに強化し、検出を回避して、脆弱性を悪用する新しい方法を試すことでしょう。

すべての悪意ある攻撃を予測することはできませんが、2025 年も継続して拡大する可能性が高い、懸念されるアイデンティティ攻撃の傾向のいくつかを特定することはできます。 ここでは、それらに関する私たちの予測と、備えるためのアドバイスをいくつかご紹介します。

フィッシングキットはより巧妙になる

フィッシングは引き続き アイデンティティ攻撃の効果的な方法であり、この状況は2025年も続くでしょう。 実際、高度なフィッシングキット (攻撃を仕掛けたり繰り返すことを容易にするために設計されたリソースの仮想ツールボックス) を使用する攻撃者が増えています。

2025 年には、これらのフィッシングキットは進化し、フィッシングの検出がさらに困難になるでしょう。 たとえば、多くのフィッシングキットは、住宅プロキシを使用して攻撃者の活動が標的ユーザーの近くであるかのように偽装し、「ありえない移動」を検知するリスクベース認証を回避できるようになりました。

このような攻撃に対抗するために、組織はフィッシング耐性のある認証を採用し、匿名化サービスからのリクエストをブロックすることを強く推奨します。これらの解決策は万能ではないかもしれませんが、悪意のある活動を減らすことができるはずです。

デバイスベースの攻撃が復活する

重大なセキュリティインシデントや危機一髪の事態が発生すると、戦略に大きな変更が生じることがあります。

それは2022年に起こりました。Scatter Swineと呼ばれるハッカー集団がソーシャルエンジニアリングとSMSベースの認証情報フィッシングキャンペーンを次々と実施し、MFAを回避して、数十社の大企業の情報にアクセスしようと試みました。これらの標的となった約30社の企業を調査したところ、ほぼすべての企業がこの攻撃を受けて、強力なフィッシング耐性のある認証システムを導入したことが分かりました。

フィッシング対策を導入することは重要ですが、それだけでは十分ではありません。 なぜなら、執拗な攻撃者がフィッシングという攻撃ができなくなると、別の方法に切り替えるからです。

すでにデバイスベースの攻撃への移行が見られており、ハッカーはユーザーの携帯電話、ノートパソコン、ネットワークを侵害しようとしています。例えば、ユーザーを騙してマルウェアをインストールさせ、ログイン認証情報を盗み出して、ユーザーの会社内の機密システムやデータにアクセスする可能性があります。 

幸いなことに、デバイスベースの攻撃に対して打つ手がないわけではありません。 Device Trustを確立することで、組織は特定のリソースへのアクセスを管理されたデバイスに制限することができます。また、認証フローに、「エンドポイントの検知と対応」（EDR）サービスのシグナルを統合することで、マルウェアに感染したデバイスがセッションを確立するのを防ぐことができます。

ビジネスプロセスが標的となる

ビジネスに対するセキュリティ脅威のすべてが、テクノロジースタックの脆弱性に関係するとは限りません。むしろ、巧妙な攻撃者はビジネスプロセスの弱点を突くことも狙っています。例えば、攻撃者は新入社員になりすましてITヘルプデスクに電話をかけ、貴社の従業員が使用するソフトウェアに関する情報を収集するかもしれません。

この手法を繰り返すことで、攻撃者は会社の業務内容の詳細な情報を入手できるようになるため、次に貴社の従業員になりすますときには、さらに説得力が増すことになります。また、貴社のプロセスや広範なサプライチェーンの脆弱性を特定し、それを悪用する可能性も高まります。

従業員に異常な活動や不正な活動に注意するよう教育することは、この種の攻撃を防ぐのに役立ちます。また、組織は、オンボーディングやリカバリーフローなどのユーザーライフサイクルの重要な局面で従業員が本人であることを検証できるアイデンティティ検証ベンダーを使用するなど、リモートワーカーを検証するための強固なプロセスを導入する必要もあります。

ダウングレード攻撃は今後も急増

2024 年には、ダウングレード攻撃が増加しています。ダウングレード攻撃では、最初の攻撃によって標的のシステムが安全性の低い動作モードに切り替えられ、その後に続く攻撃に対してより脆弱になります。

ダウングレード攻撃により、ユーザーはフィッシング耐性のある認証方法を放棄し、安全性の低い認証方法に切り替えるよう強制される可能性があります。 例えば、ユーザーに Yubikey をラップトップから切断するように求めるSMSメッセージの形で攻撃が行われる可能性があります。あるいは、ユーザーのITチームになりすました人物から電話がかかってきて、アカウントからセキュリティ要素を削除するよう求められるかもしれません。

攻撃者は、組織の認証ポリシーの誤った設定を悪用する可能性もあります。この脅威を軽減するために、フィッシング耐性要素を必要とする認証ポリシーを設定し、機密性の高いアプリケーションのポリシーがフィッシング耐性要素以外の要素にフォールバックしないようにすることを推奨します。

ダウングレード攻撃は、2025年も引き続き重大なセキュリティの脅威となると予想されます。繰り返しになりますが、安全なプロセスと手順を実装することが重要ですが、従業員も重要な役割を果たします。ソーシャルエンジニアリング攻撃に注意し、SMSやインスタントメッセージングアプリケーションなどのチャネルでパスワードやコードを決して提供しないように従業員を教育することが求められます。

生成AIは新たな課題を提起する

最後に、2025年の予測として、AIを欠かすわけにはいきません。

生成AI は、その可能性と潜在能力とともに、すでにセキュリティチームに数多くの頭痛の種をもたらしています。今年だけでも、経営幹部のディープフェイク動画を使って、従業員を騙して送金させたり、機密情報を共有させるといった攻撃事例がありました。もう少し時間がかかるかもしれませんが、この分野における驚異的な革新のペースを考えると、 2025年にはディープフェイクがリアルタイムで作成されるようになり、その脅威を軽減する方法について考え始めることになるでしょう。実際の従業員を模倣するように即座に生成された説得力のある音声や動画は、攻撃者にとって新たな創造的な機会を生み出すことでしょう。

このような脅威の影響を軽減するには、ビジネスプロセスを進化させる必要があります。 企業は、リーダーが不合理で疑わしい要求をしていると感じたときに、従業員が反論できるような文化を作り上げるべきです。

当社のセキュリティへの取り組み

アイデンティティを狙った攻撃の世界は動的であり、絶え間ない革新と適応を必要とする継続的な戦いです。 ユーザーとデータを保護したい企業にとって、効果的な防御策を講じるには、テクノロジー、ポリシー、ビジネスプロセスの進化が必要です。

Okta では、行動を起こすことに全力を尽くしています。 そのため、当社は最近、アイデンティティ攻撃との戦いで業界をリードするための長期的な取り組みである Okta Secure Identity Commitment (OSIC) を発表しました。 OSIC を通じて、当社は同業者や顧客がセキュリティ体制を改善し、現在および将来にわたって、どのような形態であっても アイデンティティベースの脅威から防御できるよう支援したいと考えています。こうした攻撃の進化と、攻撃を最も効果的に軽減する方法について詳しくは、アイデンティティ ベースの攻撃の構造に関するガイドをお読みください。