Fortune 1000 従業員のセキュリティを調査:64% に達するパスワード再利用率などが判明

Password reuse is rampant among Fortune 1000 employees

2022/05/11 HelpNetSecurity — SpyCloud は、テクノロジー/金融/小売/通信などの主要分野に属する、Fortune 1000 企業の従業員を対象とする、ID 漏洩に関する年次分析を発表した。2000億を超える漏洩資産のデータベースから、研究者たちは Fortune 1000 企業の従業員に関連する、6億8700万件以上の暴露された認証情報/個人情報を特定し、昨年の分析結果と比較して 26% 増であることを明らかにした。

Fortune 1000 identity exposure

このデータを分析した結果として、64% に達するパスワード再利用率や、推測しやすいパスワードの利用、マルウェア感染したデバイスの急増が確認された。個人情報保護を企業に求める従業員と消費者の双方にとって、こうした傾向は、サイバー・リスクを高める要因となっている。

リモートワークにより、仕事とプライベートの境界線が曖昧になり、攻撃対象が拡大することで、従業員と消費者の個人情報漏洩のレベルを超えて、サイバー攻撃が企業ネットワークを侵食していくリスクが高まっていく。

SpyCloud の Chief Product Officer である David Endler は、「この2年間で、大半の企業における攻撃対象の面積は、ハイブリッド労働力という新しい現実により拡大した。Fortune 1000 の企業は、悪意の行為者からの脅威の嵐と、悪化する世界情勢に直面しており、漏洩した従業員情報への大作や、マルウェア感染したデバイスの特定と修復を始めとする、すべての脅威ベクターに対する体制の強化が急務となっている」と述べている。

研究者たち、情報窃取マルウェアにより吸い上げられた情報を取り込む、各種のボットネットのログから、Fortunes 1000 企業の7万人の従業員の、認証情報/個人情報/感染デバイス・データを特定した。マルウェアに感染した個人所有のデバイスで勤務する従業員は、複雑なパスフレーズや MFA を使用しているにしても、企業にとってリスクとなる。

このような重大なリスクにより、パスワード/システム情報/ブラウザ・フィンガープリント/Web セッション・クッキーなどが悪用され、犯罪者が認証対策を回避し、従業員に成りすますために必要な、すべてのデータを提供することになる。さらに、マルウェア感染した約2,900万台の消費者向けデバイスが、Fortunes 1000 企業の消費者向けサイトへのログインに使用され、認証情報と個人情報が詐欺師に暴露されている。

David Endler は、「個人所有の端末におけるマルウェア感染は、きわめて検知が困難であるため、ランサムウェアの攻撃対象が大幅に増加し、最も危険な感染源となる。それらを悪用する攻撃は、企業の収益に悲惨な結果をもたらすだけでなく、重要インフラ分野などにも大きな影響を与える可能性がある。

重要インフラとテクノロジー分野の遅れが目立つ

この報告書によると、パスワードの衛生状態が悪いのは、重要インフラ関連企業であることが判明した。航空宇宙/防衛/化学/工業/エネルギーなどの業界において、最も使用されているパスワードの Top-3~5 に会社名が使用されるなど、パスワード衛生上の問題が検出された。

パスワードの衛生状態が最も悪かったのが、重要インフラ分野の従業員たちだった一方で、最も深刻な個人情報の流出が確認されたのはテクノロジー分野である。全体で 1億3900万件の従業員資産 (認証情報/個人情報/クッキーなど) のうち、2600万件以上の情報流出を記録しており、Fortunes 1000 企業の流出件数の 21% を占めている。それに続くのは、金融サービスであり、約1億2000万件の資産のうち、2100万件の流出となる。

また、マルウェアに感染したデバイスの数は、テクノロジー企業の各部門が最も多く、Fortune 1000で感染が確認されたものとして、消費者向けデバイスの約70% (2060万台) と、従業員向けデバイスの約50% (約34000台) であることが判明した。

アカウント乗っ取りや、マルウェア/ランサムウェアなどの悪質なサイバー攻撃から身を守るために、Fortune 1000 企業は従業員の安全確保だけに頼ることはできない。むしろユーザーや消費者によるリスクに向きあい、その行動が攻撃対象領域を何倍にも拡大させると捉える必要がある。

また、特に、テクノロジー/eコマース/金融サービス/重要インフラなどの、膨大かつ機密性の高い消費者データを預かっている業界では、ユーザーの行動に関する継続的/実用的なインテリジェンスを活用することが必要となる。

この記事の元データとなっている、SpyCloud の 2022 Annual Identity Exposure Report には、ID 管理に関連する様々なデータが提供されています。全体で 16ページほどの PDF ですが、チャートが多用されているので、いくつかのキーとなるデータを、あまり時間をかけずに参照できるようになっています。いつになっても、パスワードは悩ましい問題ですね。

%d bloggers like this: