Verizon 2025 DBIR:依然としてクレデンシャル攻撃が主流 - Nok Nokの視点
Verizon 2025 DBIR:依然としてクレデンシャル攻撃が主流 - Nok Nokの視点
ベライゾン ベライゾン2025データ侵害調査報告書(DBIR)は、パスワードに関連する攻撃が依然として世界中の組織にとって最大の脅威であるという、明確かつ緊急で、しかも見慣れた状況を描き出しています。パスワードレス認証のリーダーであるNok Nokは、この調査結果を警鐘であると同時に、すべての人をパスワードレス認証に移行させるというミッションの検証でもあると考えています。
主な調査結果パスワードとクレデンシャルの濫用は依然としてトップリスク
この報告書は、クレデンシャル・ベースの攻撃の永続性に関するいくつかの重要な点を強調している:
- 盗まれたクレデンシャルが主な侵入経路です:クレデンシャルの不正使用は、全世界の侵害の22%で最初の侵入経路となっており、攻撃者が侵入する最も一般的な方法となっています。攻撃者はハッキングで侵入するのではなく、盗まれた、推測された、または流出したパスワードを使って正面玄関からログインするのです。
- ウェブアプリケーション攻撃はクレデンシャルに依存している:基本的なウェブ・アプリケーションに対する攻撃の88%は、盗まれた認証情報が関与しています。これは、パスワードの再利用と脆弱なパスワードポリシーがいかにセキュリティを損ない続けているかを浮き彫りにしています。
- フィッシングとソーシャルエンジニアリングがクレデンシャル盗難を助長:不正侵入の約25%はフィッシングによるものであり、ソーシャルエンジニアリングはログイン情報を盗む手口のトップであることに変わりはない。ユーザーがフィッシング・リンクをクリックするまでの時間の中央値はわずか21分で、ほとんどの組織が検知して対応するよりはるかに速い。やばい!
- 情報窃取者の標的はデバイスと認証情報:情報窃取者が侵害したシステムの30%は企業で管理されたものであったが、46%は管理されていないものであり、その多くは業務で使用される個人用デバイス(BYOD)であった。これは、組織が直接管理できないところでクレデンシャルの盗難にさらされていることを意味します。
- ランサムウェアと認証情報ランサムウェアは侵入の44%に存在し、ランサムウェアの被害者の半数以上から企業認証情報を含む情報盗取ログが発見された。クレデンシャルは多くの場合、より大規模な侵害への第一歩となります。
2025年DBIRのその他の注目すべき傾向
クレデンシャル攻撃以外にも、DBIRは重要な傾向を強調している:
- 脆弱性の悪用:パッチの適用されていないエッジデバイス(VPNやファイアウォールなど)を標的にしたエクスプロイトが34%急増し、現在では侵害の20%を占めている。攻撃者は、既知およびゼロデイ脆弱性の悪用をますます自動化しています。
- 第三者による侵害:サードパーティが関与する侵害の割合は2倍の30%に達し、サプライチェーンやパートナーのエコシステムにおけるリスクを浮き彫りにした。
- ヒューマンエラー:侵入の60%は依然として人為的なものであり、ユーザー教育とセキュリティ設計の改善が必要である。
- 修復のギャップ:脆弱性のあるエッジデバイスの54%にしかパッチが適用されておらず、その修正期間の中央値は32日で、攻撃者にとって大きな隙が残されている。
なぜパスワードは脆弱なままなのか
DBIRの調査結果は、私たちNok Nokが以前から主張してきた、パスワードはセキュリティ・メカニズムとして根本的な欠陥があるということを裏付けるものです。攻撃者がパスワードを悪用する理由は以下の通りです:
- フィッシングやマルウェア、情報漏えいによって簡単に盗まれる。
- ユーザーは、職場でも自宅でも、複数のサイトでパスワードを再利用することが多い。
- パスワードは推測されたり、ブルートフォースされたり、侵入されたデータベースから見つかったりする。
- デバイスやBYODのリスクは、IT部門が見えないところで認証情報が漏洩する可能性があることを意味する。
報告書によると、「クレデンシャルの盗難は、大半の侵害において王国の鍵であり続けている。そして、その勢いは衰えていない」と述べている。
前進への道パスワードレス認証
このサイクルを断ち切ろうとする組織にとって、DBIRは「パスワードを超える」という明確な指令を提示しています。Nok Nokが推奨する対応策は以下の通りです:
- パスワードレス、フィッシングに強い認証の採用:FIDOベースの認証(別名パスキー)は、方程式からパスワードを取り除くことにより、クレデンシャルの盗難、フィッシング、再利用のリスクを排除します。
- デバイスに対する強力なアクセス制御の実施:特にBYOD環境では、管理された安全なデバイスのみが機密システムにアクセスできるようにします。
- パッチ管理の迅速化:エッジデバイスやVPNに迅速にパッチを適用することで、脆弱性悪用の機会を減らします。
- ユーザー・トレーニングとリアルタイム検知への投資:テクノロジーは重要であるが、ユーザーの意識向上とフィッシングへの迅速な対応が不可欠であることに変わりはない。
結論今こそ行動を
2025年のベライゾンのDBIRで明らかになったこと:攻撃者は進化しているが、彼らはいまだに同じ古い手口、つまりパスワードを盗むことに頼っている。なぜか?それが最も抵抗の少ない方法だからだ。代わりにログインすればいいだけなのに、なぜハッキングに時間を費やすのか?組織がパスワードに依存する限り、侵入は続くでしょう。Nok Nokでは、解決策は簡単だと考えています。パスワードを廃止し、最新の認証を採用し、クレデンシャルベースの攻撃を永久にシャットアウトすることです。これにより、私たちは軍拡競争から抜け出し、クレデンシャル・ベースの攻撃を跳ね除けることができるのです。もしあなたがKuppinger Cole EIC 2025に参加するのであれば、当社の製品担当副社長であるRolf Lindemannが、まさにこのテーマについて講演します。 このトピックについて!
セキュリティの未来はパスワードレス。2025年を、ついにパスワードを置き去りにする年にしよう。
