Verizon 2025 DBIR：依然としてクレデンシャル攻撃が主流 - Nok Nokの視点

ベライゾン ベライゾン2025データ侵害調査報告書（DBIR）は、パスワードに関連する攻撃が依然として世界中の組織にとって最大の脅威であるという、明確かつ緊急で、しかも見慣れた状況を描き出しています。パスワードレス認証のリーダーであるNok Nokは、この調査結果を警鐘であると同時に、すべての人をパスワードレス認証に移行させるというミッションの検証でもあると考えています。

主な調査結果パスワードとクレデンシャルの濫用は依然としてトップリスク

この報告書は、クレデンシャル・ベースの攻撃の永続性に関するいくつかの重要な点を強調している：

• 盗まれたクレデンシャルが主な侵入経路です：クレデンシャルの不正使用は、全世界の侵害の22%で最初の侵入経路となっており、攻撃者が侵入する最も一般的な方法となっています。攻撃者はハッキングで侵入するのではなく、盗まれた、推測された、または流出したパスワードを使って正面玄関からログインするのです。
• ウェブアプリケーション攻撃はクレデンシャルに依存している：基本的なウェブ・アプリケーションに対する攻撃の88%は、盗まれた認証情報が関与しています。これは、パスワードの再利用と脆弱なパスワードポリシーがいかにセキュリティを損ない続けているかを浮き彫りにしています。
• フィッシングとソーシャルエンジニアリングがクレデンシャル盗難を助長：不正侵入の約25%はフィッシングによるものであり、ソーシャルエンジニアリングはログイン情報を盗む手口のトップであることに変わりはない。ユーザーがフィッシング・リンクをクリックするまでの時間の中央値はわずか21分で、ほとんどの組織が検知して対応するよりはるかに速い。やばい！
• 情報窃取者の標的はデバイスと認証情報：情報窃取者が侵害したシステムの30%は企業で管理されたものであったが、46%は管理されていないものであり、その多くは業務で使用される個人用デバイス（BYOD）であった。これは、組織が直接管理できないところでクレデンシャルの盗難にさらされていることを意味します。
• ランサムウェアと認証情報ランサムウェアは侵入の44%に存在し、ランサムウェアの被害者の半数以上から企業認証情報を含む情報盗取ログが発見された。クレデンシャルは多くの場合、より大規模な侵害への第一歩となります。

2025年DBIRのその他の注目すべき傾向

クレデンシャル攻撃以外にも、DBIRは重要な傾向を強調している：

• 脆弱性の悪用：パッチの適用されていないエッジデバイス（VPNやファイアウォールなど）を標的にしたエクスプロイトが34%急増し、現在では侵害の20%を占めている。攻撃者は、既知およびゼロデイ脆弱性の悪用をますます自動化しています。
• 第三者による侵害：サードパーティが関与する侵害の割合は2倍の30％に達し、サプライチェーンやパートナーのエコシステムにおけるリスクを浮き彫りにした。
• ヒューマンエラー：侵入の60%は依然として人為的なものであり、ユーザー教育とセキュリティ設計の改善が必要である。
• 修復のギャップ：脆弱性のあるエッジデバイスの54%にしかパッチが適用されておらず、その修正期間の中央値は32日で、攻撃者にとって大きな隙が残されている。

なぜパスワードは脆弱なままなのか

DBIRの調査結果は、私たちNok Nokが以前から主張してきた、パスワードはセキュリティ・メカニズムとして根本的な欠陥があるということを裏付けるものです。攻撃者がパスワードを悪用する理由は以下の通りです：

• フィッシングやマルウェア、情報漏えいによって簡単に盗まれる。
• ユーザーは、職場でも自宅でも、複数のサイトでパスワードを再利用することが多い。
• パスワードは推測されたり、ブルートフォースされたり、侵入されたデータベースから見つかったりする。
• デバイスやBYODのリスクは、IT部門が見えないところで認証情報が漏洩する可能性があることを意味する。

報告書によると、「クレデンシャルの盗難は、大半の侵害において王国の鍵であり続けている。そして、その勢いは衰えていない」と述べている。

前進への道パスワードレス認証

このサイクルを断ち切ろうとする組織にとって、DBIRは「パスワードを超える」という明確な指令を提示しています。Nok Nokが推奨する対応策は以下の通りです：

• パスワードレス、フィッシングに強い認証の採用：FIDOベースの認証（別名パスキー）は、方程式からパスワードを取り除くことにより、クレデンシャルの盗難、フィッシング、再利用のリスクを排除します。
• デバイスに対する強力なアクセス制御の実施：特にBYOD環境では、管理された安全なデバイスのみが機密システムにアクセスできるようにします。
• パッチ管理の迅速化：エッジデバイスやVPNに迅速にパッチを適用することで、脆弱性悪用の機会を減らします。
• ユーザー・トレーニングとリアルタイム検知への投資：テクノロジーは重要であるが、ユーザーの意識向上とフィッシングへの迅速な対応が不可欠であることに変わりはない。

結論今こそ行動を

2025年のベライゾンのDBIRで明らかになったこと：攻撃者は進化しているが、彼らはいまだに同じ古い手口、つまりパスワードを盗むことに頼っている。なぜか？それが最も抵抗の少ない方法だからだ。代わりにログインすればいいだけなのに、なぜハッキングに時間を費やすのか？組織がパスワードに依存する限り、侵入は続くでしょう。Nok Nokでは、解決策は簡単だと考えています。パスワードを廃止し、最新の認証を採用し、クレデンシャルベースの攻撃を永久にシャットアウトすることです。これにより、私たちは軍拡競争から抜け出し、クレデンシャル・ベースの攻撃を跳ね除けることができるのです。もしあなたがKuppinger Cole EIC 2025に参加するのであれば、当社の製品担当副社長であるRolf Lindemannが、まさにこのテーマについて講演します。 このトピックについて!

セキュリティの未来はパスワードレス。2025年を、ついにパスワードを置き去りにする年にしよう。

パスワードレスの未来への新たな一歩

マイクロソフトが2025年までに10億人以上のユーザーを対象にパスワードをパスキーに置き換えることを発表したことは、デジタル・セキュリティ全体にとって大きなニュースです。私たちNok Nokは、これが正しいアプローチであり、パスワードレスの未来に向けた長い道のりの新たな一歩であると考えています。

マイクロソフトの動きが重要な理由
マイクロソフトが、Outlook、Xbox、Microsoft 365を含むプラットフォーム全体のデフォルトのサインイン方法をパスキーにするという決定は、パスワードレス認証を強力に支持するものである。

その理由は以下の通りだ：

リーチ：マイクロソフトは、パスワードレス認証を多くのユーザーに提供できる。パスキーの利点と使いやすさについてユーザーを教育することで、全面的な普及が加速するだろう。

セキュリティFIDO標準に基づいて構築されたパスキーは、パスワードよりもはるかに強力なセキュリティを提供します。フィッシング、キーロギング、ソーシャルエンジニアリングなど、パスワードが受けやすい一般的な攻撃に耐性があります。ログイン認証情報を標的にしたサイバー攻撃が増加する中、この強化されたセキュリティは、セキュリティのニーズを満たす目的で構築されています。

ユーザー体験：マイクロソフトは、サインアップとサインインのプロセスを合理化し、パスキーの導入と使用を容易にすることに注力している。ユーザーエクスペリエンスをシンプルで直感的なものにすることで、導入の大きな障壁を取り除こうとしている。

Another Nail in the Password Coffin
何年もの間、パスワードはオンライン・セキュリティの最も弱いリンクとされてきた。パスワードは覚えにくく、推測されやすく、常に攻撃者に狙われている。業界は長い間このことを知っており、より良い解決策を模索してきた。今回のマイクロソフトの動きは、パスワードを一掃し、より安全なオンライン世界に近づくための大きな一歩である。

業界にとっての意味
マイクロソフトのパスキーへのコミットメントは、おそらく業界全体に波及効果をもたらすだろう。より多くのユーザがパスワードレス認証の利点を体験するにつれて、他の企業も追随せざるを得なくなるだろう。このような採用の増加は、パスキーの分野におけるさらなる革新と標準化を促進し、誰もがパスワードレス・ソリューションを実装し、使用しやすくする。

NokNokはパスワードレス認証のパイオニアであり、マイクロソフトのような巨大企業がパスキーを支持することに興奮しています。私たちはパスキーが認証の未来であることを知っています。マイクロソフトのイニシアチブは、私たちのビジョンを検証し、パスワードレス・テクノロジーの勢いが増していることを示しています。私たちは10年以上にわたってFIDOベースのパスワードレス・ソリューションを構築、展開しており、私たちのFIDO認定ソリューションは、インターネット規模で何億人もの世界中のエンドユーザーに展開されています。私たちは、パスキーの実装において企業をサポートする準備ができており、すべての人にとってインターネットをより安全なものにする手助けをすることに興奮しています！