SMSを従業員に送信し、取得した不正なアクセス権を使ってラテラルムームメントを実行して顧客情報も盗む、アカウント乗っ取りの被害が急増している。こうした中で重要性が高まっているのがMFA(多要素認証)だが、全てのMFAが同レベルのセキュリティを提供できるわけではない点には注意が必要だ。
特にSMSや時間ベースのワンタイムパスワード(OTP)は安全性が低く、FIDO2準拠のMFA実装のような、実績ある手法への置き換えが求められている。そこで注目したいのが、ハードウェアを用いたセキュリティキーによる認証だ。実際に、ある企業ではOTPに代わるセキュリティキーを展開して以降、漏えいした認証情報を使ってシステムにログインを仕掛ける攻撃を受けても、アカウント乗っ取りの被害を受けなくなったという。
本資料では、セキュリティの専門ベンダーが実際に受けた攻撃の事例を基に、アカウント乗っ取りの手口や、フェーズごとに同社が行った対応について、詳しく解説する。あわせて、同社が標的型攻撃の被害を軽減するために採用している、独自のゼロトラストプラットフォームについても紹介しているので、ぜひ参考にしてほしい。