情報漏えい事件の頻発により、盗難アカウント情報によるリスト型攻撃が深刻化している。同攻撃では、攻撃者が闇サイトなどから不正に入手したユーザー名とパスワードを使い、自動化ツールにより、他のWebサイトにログインを試みる。ログインに成功したアカウントは乗っ取られ、詐欺などに使われる。
「クレデンシャル・スタッフィング攻撃」とも呼ばれるこの攻撃の被害は、ユーザーの多くがアカウントの認証情報を使い回しているために、今後ますます増える見込みだ。しかし、アカウント乗っ取りの被害を防ぐために、多要素認証などのプロセスを導入しようとしても、ネット通販などの顧客は、煩雑なログインプロセスを嫌う傾向が強い。
本資料では、クレデンシャル・スタッフィング攻撃に対抗するために、企業が採るべき方策について解説する。ユーザーのトレーニング、一貫した企業ポリシー、Webアプリケーション・ファイアウォール、一元化した認証/認可ゲートウェイを組み合わせることで、クレデンシャル・スタッフィング攻撃を阻止・軽減できるとしている。
本資料では、非管理端末も含めて対策を講じていく「全方位ゼロトラスト」を実現する3つのアプローチについて解説する。3つのアプローチを実現できるというソリューションなども紹介している。
本資料では、CRMなどのSaaSを世界で展開する企業が、責任共有モデルを実現する様々なセキュリティ対策オプションについて、その狙いとユースケース、対応できる脅威を網羅的に紹介。内部不正をけん制する手法にも言及する。
本資料では、アカウント乗っ取りの実事例と有効な対策を解説。取引先からの請求、従業員からの口座変更依頼、銀行カードの承認者変更依頼といった事例について、偽メールの文面と顛末(てんまつ)を紹介している。
クラウド型メールに用意されている標準的なセキュリティ機能だけで高いセキュリティ水準を保つことは困難だ。そこで本資料では、クラウド型メールと組み合わせるセキュリティサービスを選ぶ際に確認すべき22の要件を解説する。
本資料では、金融業向けに標的型攻撃のトレンドと対策について解説する。有効な対策として、データをPCではなくクラウドに保存するソリューションと、Windows Updateソリューションを詳しく紹介している。
