防止できたはずの7つのアプリケーションセキュリティリスク

エンタープライズPasskeyホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。

重要なポイント

2022年から2024年の間に発生したMGM、Uber、CircleCI、Ticketmasterでのデータ侵害により、6億人以上のユーザーの個人データが漏洩し、数億ドルを超える損失が発生しました。
2023年のMGM Resortsのデータ侵害は、ITヘルプデスクサポートへのビッシングコールから始まり、認証情報の初期化とランサムウェアの展開を許し、7日間のシステム停止を引き起こしました。
Snowflakeのデータ侵害では、MFAが適用されていないアカウントを狙う情報窃取マルウェアから盗まれた認証情報を通じて、Ticketmaster（顧客記録5億6,000万件）やAT&Tを含む165の組織が侵害を受けました。
**Device Bound Session Credentials（DBSC）**は、セッションを特定のデバイスに暗号化して紐付けることでセッションCookieの盗難を防ぎ、他のマシンから盗まれたCookieを使用不可能にします。
報告されたデータ侵害におけるすべての組織は、システムが侵害される前にパスキーを導入する手段を持っていました。パスキーは2022年から2024年にかけて、すでに成熟して利用可能な技術でした。

1. はじめに#

Uber、MGM Resorts、CircleCI、Ticketmasterなどの大企業をはじめとする多くの企業が、2022年9月から2024年5月にかけて、攻撃者によってユーザーアカウントシステムへの不正アクセスを受け、セキュリティ侵害に直面しました。これらの攻撃により数億ドルを超える損害が発生し、6億人以上のユーザーの個人データが漏洩しましたが、当時の時代遅れな認証システムを改善していれば、これらのセキュリティ侵害は防ぐことができたはずです。

これらの事例には、洗練されたゼロデイ攻撃や、サイバー攻撃者が未知の脆弱性を悪用して攻撃を行ったという証拠は見られません。これらは、組織がいかにしてセキュリティ侵害の防止に失敗したかを示しています。多くの組織はMFA疲労攻撃の存在を認識していながら防御策を講じず、パスワードベースのシステムの脆弱性を認識していながらそれを使用し続けていました。

2. 従来の認証の失敗#

脆弱な認証や旧来の認証は、攻撃者にとって一般的な侵入経路です。セキュリティ侵害の大半は、攻撃者が盗まれたパスワードや過去に使用されたパスワードを入手することから始まります。組織には、フィッシング耐性を提供する確立されたパスキー認証システムを導入する選択肢があったにもかかわらず、です。 2023年のMGM Resortsのデータ侵害は、攻撃者がビッシングを用いてヘルプデスクのITサポートに接触し、認証情報をリセットさせてランサムウェアを展開したことで始まり、7日間にわたるシステムの中断を引き起こしました。

MGMをはじめとする組織のセキュリティシステムは、パスワードとSMSベースの2要素認証を組み合わせて使用していましたが、これはソーシャルエンジニアリング攻撃や認証情報の盗難を防ぐには不十分でした。組織はセキュリティの脅威を理解していながらも、現在のシステムと業務プロセスが妨げとなり、より優れた認証システムを確立することができませんでした。

公開鍵暗号と生体認証を使用するパスキーを導入していれば、これらの攻撃が成功するリスクを大幅に減らすことができたでしょう。パスキーは、ユーザーがリモートアクセスやヘルプデスクサポートを通じてリセットコードを共有することでリセットすることができないため、ソーシャルエンジニアリング攻撃を防ぐことができ、パスワードよりも安全です。ただし、パスキーのセキュリティも、アカウント復旧プロセスが適切に保護されていない場合や、デバイスがマルウェアに感染した場合には、特定の攻撃手法に対して脆弱なままです。

3. セッションおよびCookieベースの攻撃#

攻撃者は、システムへのアクセスを取得し、すべての認証手順を迂回するのに役立つCookieの取得に焦点を当てています。 2022年のCircleCIのデータ侵害は、従業員のノートパソコンに感染した情報窃取マルウェアが、アクティブなセッションCookieをいかに簡単に盗み出せるかを示すことで、この事実を浮き彫りにしています。攻撃者はこれらを使用して2要素認証をバイパスし、本番環境のシステムにアクセスしました。

セッションCookieは、ベアラートークンとしてアクセス制御を迂回する手段として機能し、機密データの漏洩を助長します。このような事態を防ぐために、組織はDevice Bound Session Credentials (DBSC) を実装することができます。DBSCは、暗号化技術を使用してセッションを特定のデバイスに関連付けることで、ユーザーをセッション盗難から保護します。これにより、他のコンピュータから盗まれたCookieを使用することは不可能になります。DBSCシステムは、さまざまなデバイスで実行される情報窃取マルウェアに対して効果的な保護を提供しますが、最初に登録されたデバイスがマルウェアに感染した場合の攻撃を防ぐことはできません。

ライブデモでパスキーを試せます。

Passkeysを試す

4. 壊れた認可（Broken Authorization）#

アプリケーションのアクセス制御が突破されると、攻撃者は権限に関係なくシステム内を横展開（ラテラルムーブメント）できるようになります。複数のネットワーク侵害において、攻撃者が不十分なアクセス制御を悪用してシステムコンポーネント間をうまく移動しているため、認可の脆弱性によるセキュリティリスクは依然として高い状態にあります。

IDOR（Insecure Direct Object Reference：安全でない直接オブジェクト参照）の脆弱性を特定するために、アプリケーション開発者は概念ベースの脅威モデリングを使用して基本的なアクセス管理構造を検出し、コードレビュープロセスを実装してサービスアカウントの権限を検証する必要があります。

最小権限のモデルの代わりに複雑なロールの割り当てと権限管理を選択すると、組織は認可の問題に対して脆弱なままになる可能性があります。複雑なロールの割り当ては、顧客向けアプリケーションにおける機密情報や機能への不正アクセスにつながる恐れがあります。安全な認可フレームワークを持たない組織は、不正アクセスや不正な操作からデータを保護することができません。

B2Cのセキュリティ問題が増加する中、単一の侵害されたアカウントが複数のユーザーアカウントに大きな損害を与える可能性があります。特権アクセス管理を実装することで、組織は従業員や顧客に、その業務を遂行するために必要な最小限のアクセス権のみを与えることができます。これに加えて、定期的な概念ベースの脅威モデリングとコードレビューにより、リスクと脆弱性を簡単に発見することができます。

5. 安全でないAIの統合#

GenAIおよびLLMのアプリケーションへの急速な統合は、これらの変更を検出する従来の制御の能力を上回っており、目に見えないセキュリティリスクをもたらしています。 2024年のSnowflakeのデータ侵害は、多要素認証を実装していなかったSnowflakeの顧客環境に侵入するために、脅威アクターが情報窃取マルウェア攻撃によって盗まれた認証情報をどのように利用したかを示しています。この攻撃により、5億6,000万件の顧客記録を持つTicketmaster、AT&T、Santander Bankを含む165以上の組織が侵害されました。

組織はしばしばAIをIT環境のコア部分として認識しておらず、モデル、ベクトル化されたデータストア、AIパイプラインなどのAIリソースを、設定ミスやサイバー攻撃のリスクに対して脆弱なまま放置しています。ほとんどの組織は、「シャドーAI」のためにAIシステムを効果的に監視することが困難であると感じています。シャドーAIの環境下では、権限のない個人が内部で検出されることなく、認証情報ベースの攻撃を実行することができます。

組織が他のITインフラストラクチャと同様に、入力検証、分離、継続的な監視などのベースライン制御をAIシステムに適用していれば、これらのセキュリティインシデントは回避できたはずです。組織は、すべてのAIリソースの完全なインベントリを提供するAIセキュリティツールを使用して、設定ミスの特定と修復を自動化することができます。

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

6. クラウドおよびランタイム環境の設定ミス#

公開されたストレージバケット、過度に寛容なセキュリティグループ、公開されたコンテナなど、クラウド内の設定ミスはセキュリティインシデントを引き起こす可能性があります。2022年のePalletのデータ侵害は、設定を誤ったAmazon S3バケットが、そのツールを使用している他のビジネスの機密顧客データをいかに露呈させる可能性があるかを示しました。攻撃者は、保護されていないストレージバケットと、効果的なアクセス制御が行われていないセキュリティグループという、2つの主要なベクトルを使用して機密情報にアクセスしました。

基本的なコンプライアンススキャンは、これらの攻撃が2つの主な要因、すなわち、ユーザー固有のデータを持つパブリックアクセス可能なストレージと、公開された仮想管理ポートから発生していることを示しています。組織はこれらの設定ミスをコンプライアンスのための短期的な解決策と見なすかもしれませんが、そのほとんどがセキュリティ侵害のポイントになります。

継続的なクラウドセキュリティポスチャ管理（CSPM）やランタイムセキュリティチェックを通じて、設定ミスの特定と修復を継続的に行うことで、攻撃者が脆弱性を悪用するリスクを大幅に軽減できます。組織は自動化されたスキャンと監視ツールを使用して設定ミスを見つけ、監視プラットフォームがそれらを修復することができます。

7. SDLCにおけるセキュリティの欠如#

セキュリティ機能がソフトウェア開発プロセスに適切に統合されていない場合、脆弱性が本番プロセスに持ち込まれます。ある暗号資産スタートアップのCI/CDパイプラインにおけるGitHub Actionsの設定ミスは、AWSの認証情報をひそかに共有しており、攻撃者が800米ドル相当の暗号資産をマイニングする手助けをしました。

SAST/DAST、セキュアコードレビュー、および依存関係のスキャンは、一般的なセキュリティの脆弱性を特定することができます。これらはインジェクション攻撃から安全でないデシリアライゼーション、IDORまで多岐にわたりますが、セキュリティが軽視されている場合、これらの問題は持続します。

ソフトウェア開発ライフサイクル（SDLC）にセキュリティを統合することで、開発者はセキュリティの脆弱性を特定して解決し、本番環境へのデプロイ前にWebアプリケーションに実装することができます。これらの問題の防止には、組織が自動化されたスキャン、依存関係の管理、セキュアコードレビューを含む3つの基本的なセキュリティプラクティスを実装する必要があります。

最新ニュースを受け取るためにPasskeys Substackを購読しましょう。

購読する

8. 不十分な監視と修復プロセス#

組織がセキュリティ侵害を受け続けている主な理由は、警告指標を認識できず、システムの異常に対する明確な修復プロセスが不足しているためです。2022年のUberのデータ侵害を踏まえ、現在の業界標準に従って、コンピュータシステムを継続的に監視し、セキュリティ違反に対する明確な対応手順を確立する必要があります。セキュリティイベントの包括的なログ記録がないと、組織はクレデンシャルスタッフィング、異常なデバイスアクセスの試み、または異常なトークントランザクションを監視するのに苦労します。

組織が収集する情報には、セキュリティ権限の悪用を早期に特定するための十分な詳細が欠けているため、認証やサインインの試行を検出したり、ユーザー登録イベントを記録したりすることは困難です。

組織のシステムは、プライバシーに配慮したテレメトリと自動化されたアルゴリズムによる対応手順を通じて、異常なイベントを特定し管理します。AIによる検出と対応機能は、組織がセキュリティイベント間の関係性を特定し、侵害の発生を防ぐのに役立ちます。

9. 結論#

MGM、Snowflake、Uber、CircleCIの侵害について調査して最もフラストレーションを感じるのは、これらのインシデントは回避できたはずだということを理解することです。セキュリティに重点を置く企業がすでに認証システムに使用していた必要な機能が、当時の技術には欠けていたため、インシデントは避けられないものとなりました。

このレポートに記載されているすべての組織は、システムが侵害される前にパスキーを導入する手段を持っていました。パスキーは2022年から2024年にかけてすでに利用可能で成熟した技術でしたが、Device Bound Session Credentials (DBSC) が広く利用可能になったのは2024年になってからです。システムには、MFAの強制、ネットワークの許可リスト、最小権限のIAM、監視など、複数のクラウドセキュリティ制御が含まれていました。しかし、完全な保護を実現するには、これらの制御を手動で設定する必要がありました。

一部の組織のセキュリティチームはこれらの管理策を支持していましたが、全社的な変化に対する抵抗を打ち破ることはできませんでした。その結果、6億人以上の人々の個人データが露呈し、規制当局の調査を受け、総損失は数億ドルを超える事態を招きました。

認証情報ベースの攻撃が加速度的に増加することを示す調査結果が出ており、組織はこの深刻なセキュリティの脅威に直ちに直面し、対処する必要があります。他の組織が自社のセキュリティの失敗を侵害調査の事例として取り上げる前に最新の認証システムを導入するのか、それとも後になってから導入するのかを判断する必要があります。

アプリケーションセキュリティツールはすでに存在し、複雑なインストール手順を必要としないシンプルなプロセスを通じて自動的に動作します。ROIは測定可能です。セキュリティコミュニティには危機感が不足しており、それが認証の近代化を不可欠なセキュリティ管理策として認識することを妨げています。次のヘルプデスクへの通話、フィッシングメール、情報窃取マルウェアのペイロードが数億ドル規模のインシデントに発展する前に、組織は直ちに行動を起こす必要があります。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →