英国では近年、大手小売のM&S社とCo-op社がランサムウェア攻撃による大規模な情報漏えいを被った。いずれの事例でも、窃取されたパスワードを悪用したヴィッシング（音声によるフィッシング）攻撃が侵入経路となったと指摘されている。

これらのインシデントは認証情報の侵害に起因しており、両社に5億ポンド（1,000億円相当）を超える損害をもたらした。加えて、ブランドイメージの毀損や消費者への影響も深刻だ。社会に重要なインフラを提供する企業にとって、このようなリスクは決して他人事ではなく、報告されている被害は氷山の一角に過ぎない。

なぜアイデンティティ管理が重要なのか

アカウント侵害が主要な攻撃手法となっている背景には、企業におけるIT環境の変化がある。従来、企業システムは安全なネットワーク境界の内部で保護され、情報システム部門は、いわゆる境界防御モデルに基づいてネットワークを守れていた。しかし現在は、クラウドサーバー、オンプレミスの端末、リモートワーク用のノートパソコン、モバイル機器が混在する分散した環境が一般的となり、かつて有効だった防御策だけでは不十分になっている。

その結果、アイデンティティ管理は事実上、防御すべき新たなネットワーク境界としての役割を担っている。認証情報はサイバー犯罪者の間で広く取り引きされており、Verizon社の調査では2024年に発生した情報漏えいの約4分の1（22%）が認証情報の侵害に関連していた。また、この状況を悪化させる要因として、以下が挙げられる。

• インフォスティーラー（情報窃取型マルウェア）が急速に拡散している。こうしたマルウェアは、フィッシング、悪意のあるアプリ、ドライブバイダウンロード攻撃、ソーシャルメディア詐欺などによって、被害者のデバイスに侵入し、認証情報を窃取する。ある調査では、2024年に窃取された32億件の認証情報のうち75%（21億件）がインフォスティーラーによって取得されたと報告されている。
• フィッシング、スミッシング（SMSを使うフィッシング）、ヴィッシングは、特に標的型攻撃で認証情報を奪う手口として広く使われている。攻撃者は成功率を高めるために、標的の個人情報を事前に調べ上げることがある。M&S社およびCo-op社の事例では、委託先のITヘルプデスクに対するヴィッシング攻撃が侵入経路になった可能性が指摘されている。
• 企業や委託先のデータベースから流出した認証情報も、攻撃者にとって重要な入手源だ。インフォスティーラーと同様、これらの認証情報はサイバー犯罪者のフォーラムで売買され、不正アクセスに悪用される。
• ブルートフォース攻撃は、自動化ツールを使用して大量の認証情報を試し、どれかが成功するまで繰り返す手法である。過去に流出した認証情報（ユーザー名、パスワード）を用いて、不正なログインを試みるクレデンシャルスタッフィングもよく知られた攻撃である。パスワードスプレー攻撃は、一般的なパスワードを多数のアカウントに対して試行する点が特徴である。また、辞書攻撃は、よく使われるパスワードやフレーズ、漏えいしたパスワードを用いて、特定のアカウントに対して試行する手法である。

アイデンティティを狙った攻撃に起因する深刻なセキュリティインシデントの事例は、枚挙にいとまがない。M&S社やCo-op社に限らず、アカウント侵害を起点とする攻撃が重大なセキュリティ事故につながった例は多い。例えば、Colonial Pipeline社のインシデントでは、古いVPN機器の認証情報がブルートフォース攻撃で突破され、ランサムウェア攻撃に発展した。その結果、同社の事業が停止し、米国東海岸での燃料供給の混乱を引き起こした。また、英国の物流企業KNP社では、類推されやすいパスワードが原因で従業員のアカウントが不正アクセスの被害に遭った。攻撃者は重要システムを暗号化し、企業は長期にわたる業務停止を余儀なくされた。その影響は同社の経営に致命的な損害をもたらし、最終的には倒産に至った。

アカウントを標的とした攻撃の動向

アカウント侵害のリスクは、複数の要因で拡大している。最小権限の原則はアイデンティティ管理における基本的なベストプラクティスであり、ユーザーには業務に必要な最小限の権限のみを付与し、不要な権限を制限する考え方だ。場合によっては、権限の付与期間を限定することも推奨される。しかし実際には、運用が不十分で過剰な権限を持つアカウントが残存している企業・組織が少なくない。

こうした過剰権限のアカウントが存在すると、漏えいした認証情報を悪用して侵入した攻撃者が横展開（ラテラルムーブメント）によって、より機密性の高いシステムへアクセスする危険性がある。そして、侵害の範囲を広げて重大な被害を招く恐れがあるのだ。加えて、悪意のある従業員や人為的なミスも、アカウント侵害のリスクを高める要因となる。

さらに、アカウント管理が分散していることも深刻な課題である。ユーザーや端末のアカウント、認証情報、権限が一元管理されていないと、セキュリティ上の死角が生じやすい。アタックサーフェス（攻撃対象領域）が拡大すれば、ブルートフォース攻撃などで過剰権限を持つアカウントが狙われるリスクが高まる。加えて、AIエージェントの利用拡大やIoT機器の増加により、管理すべきアイデンティティは急速に増加している。

最後に、委託先や供給業者に起因するリスクも重要な課題である。マネージドサービスプロバイダー（MSP）やアウトソーシング事業者、ソフトウェアベンダーは社内システムへアクセスするための認証情報を保有している。物理的およびデジタルのサプライチェーンが拡大し、業務プロセスの複雑さが増すにつれ、これらを介した不正アクセスのリスクも高まっている。

アイデンティティ管理を強化する方法

アカウント管理を考慮した多層防御を実装することで、深刻な情報漏えいリスクを軽減できる。具体的には以下の対策が推奨される。

• 最小権限の原則を徹底し、認可状況を定期的に検証する。攻撃対象の範囲を限定できる。
• 全従業員に対し、推測されにくい複雑なパスワードの使用を義務付け、パスワードマネージャーによる管理を徹底するよう周知する。
• 多要素認証（MFA）により認証を強化する。認証情報が漏えいしても、攻撃者によるアカウントへの侵入を防止する。SMSによる認証は盗聴リスクがあるため、認証アプリやパスキーの利用が望ましい。
• アイデンティティのライフサイクル管理を徹底する。従業員の入退社に応じたアカウントの適切な作成・削除や、未使用アカウントの定期スキャンと削除を行う。
• 特権アクセス管理（PAM：Privileged Access Management）のアプローチを採用し、認証情報の自動ローテーションや、必要なときにのみ権限を付与するジャストインタイムアクセスによって特権アカウントを保護する。
• CEO（最高経営責任者）を含む全従業員を対象に、アイデンティティセキュリティの重要性や最新のフィッシング手法を理解できるよう、セキュリティ教育を見直すことが重要だ。特にフィッシング対策については、模擬演習（シミュレーション）が効果的である。

これらの推奨事項の多くは、「決して信頼せず、常に検証する」というゼロトラストの原則に基づくサイバーセキュリティのアプローチに通じている。つまり、ネットワークの内外を問わず、すべてのアクセス試行（人によるアクセスであれ、機械によるアクセスであれ）は認証・認可され、その正当性が検証される。また、システムやネットワークは不審な挙動を検知するために継続的に監視される。

こうした体制を支える上で、MDR（Managed Detection and Response）ソリューションは大きな価値を発揮する。専門知識を備えるセキュリティチームが24時間365日体制でネットワークを監視し、侵入の兆候を迅速に検知して、封じ込めと対応につなげる。侵害を未然に防ぐための予防的対策を最優先するのが、アイデンティティセキュリティのベストプラクティスである。