アイデンティティ窃盗は、組織へのアクセスを得るための最も簡単かつ迅速な手段の一つです。特に懸念すべき点は、アメリカだけでなく、世界中の多くの人々が個人情報を晒されていることです。
時には、誤ったクリックやドライブバイダウンロード、悪意のあるメール添付ファイルの開封だけで、ビジネスが一変してしまうこともあります。詐欺師は、プロフィール写真の再利用や偽のソーシャルメディアアカウントを使ってあなたになりすまし、さらには「シェアレンティング」を悪用して被害を拡大させることもあります。
従業員や上級管理職になりすますことが容易になると、攻撃者はチームを脅迫したり、金銭を強要したり、情報を盗んだり、長期的な業務妨害を引き起こすことができます。
良いニュースは、いくつかの積極的な対策を講じることで、これらを防ぐことができるという点です。本記事では、企業視点からのアイデンティティ窃盗について解説し、従業員をどのように保護するかを説明します。攻撃者が盗まれた認証情報を使って、どのように企業ネットワークやデータベースへ深く侵入するかを学びます。また、組織内でのアイデンティティ窃盗対策についてもご紹介します。アイデンティティ窃盗や詐欺を防ぐ方法を知りたい方は、本ガイドをご覧ください。
.jpg)
アイデンティティ窃盗攻撃とは?
ビジネスにおけるアイデンティティ窃盗とは、攻撃者が従業員、契約者、管理者がオンラインで自身の身元を確認するために使用する機密情報や認証情報へ不正にアクセスすることを指します。
このデータには、ユーザー名やパスワードから多要素認証(MFA)トークン、APIキー、セッションクッキーまで含まれます。攻撃者がこれらの情報を入手すると、社内の正規ユーザーになりすますことができます。SaaSアプリや社内ツールへのアクセス、企業ネットワーク内での他者とのやり取りも疑われることなく容易に行えます。ハッカーは新たな有効な業務アカウントを作成したり、既存アカウントを乗っ取ったりして、長期間にわたり企業の一員であるかのように活動し、発覚しないまま過ごすことも可能です。
アイデンティティ窃盗攻撃は、ビジネスメール詐欺、ランサムウェア、データ侵害、個人・業務用デビット/クレジットカードの不正取引など、さまざまな攻撃経路で発生します。
なぜアイデンティティ窃盗の防止が重要なのか?
攻撃者が有効なアイデンティティを手に入れると、境界型セキュリティの効果は大きく低下します。この時点で、攻撃者は内部アカウントの作成や管理、新たなサービスへの接続、さらには外部アプリとの連携まで、企業名義で行うことが可能となります。これが、オンラインでのアイデンティティ窃盗防止を学ぶ必要がある理由です。
アイデンティティ窃盗を防ぐことは、攻撃者による機密情報へのアクセス経路を遮断するために重要です。攻撃者は同僚を騙して企業秘密を引き出したり、データベース内を横断的に移動したり、大量の企業・政府記録を取得することもあります。
アイデンティティ窃盗の被害は個人にとどまらず、すべての人に影響します。
米国では、数年前に消費者がアイデンティティ詐欺で272億ドルを失いました。個人口座から資金を引き出すために使われたのと同じアイデンティティ窃盗手法が、給与サイト、ベンダーサイト、企業クレジットカードを標的に使われました。
企業はダウンタイム、インシデント対応の遅延、法的・規制上の問題、評判の損失に直面します。脅威の修復に苦しむ中、訴訟や調査が何年も続くこともあります。さらに、顧客の信頼回復や既存業務の対応も求められます。
個人にとっても、アイデンティティ窃盗は極度のストレス、不安、フラストレーションの原因となります。このストレスは、従業員アカウントや管理者認証情報が盗まれた場合、組織のセキュリティ、IT、財務チームにも波及します。
アイデンティティ窃盗攻撃の仕組み
アイデンティティ窃盗を防ぐ方法を知りたいですか?まずはその仕組みを理解しましょう:
アイデンティティ窃盗攻撃は、攻撃者が企業に関する情報収集から始まります。過去のデータ侵害、フィッシング、マルウェア感染、ダークウェブでの漏洩から盗まれたアイデンティティを収集します。オンラインのアンダーグラウンドマーケットから企業データを購入することもあります。
攻撃者が狙うのは以下の情報です:
- メール、HR、財務アプリに紐づく従業員認証情報
- ドメインコントローラー、アイデンティティサービス、クラウドアプリの管理者認証情報
- サービスアカウント、APIキー、トークン、アプリ間やタスク自動化ワークフローをつなぐその他の情報
十分なデータを収集した後、企業アプリやネットワークへのアクセスを試みます。どこか一箇所でもログインに成功すれば、強固な足場を得ることができます。そこからさらに権限を拡大していきます。アカウント乗っ取りは他ユーザーになりすまして行われることが非常に一般的です。そうなると、新しいMFAデバイスの追加やリカバリーオプションの変更、アクセス権の拡張が可能となり、ほとんどのデフォルト制限を回避できます。これだけの知識があれば、アイデンティティ窃盗や詐欺を防ぐための出発点となります。
盗まれたアイデンティティがアクセス権に変わる
攻撃者がログインに成功すると、盗まれたアイデンティティを使って活動範囲を拡大します:
- 有効なメールアカウントにアクセスできれば、パスワードリセットや同僚を騙してアクセス承認を得るなど、さまざまな操作が可能です。
攻撃者が行う可能性のあること:
- 有効な業務アカウントに紐づくメールアドレスや電話番号の変更
- 新しいMFAデバイスの登録、アクセス権の追加、正規のリカバリールートの削除
- 検知されないように機密メールを取得する転送ルールの設定
- 権限昇格、新しいロールの追加、隠れたバックドアの作成、盗まれたログイン情報によるさらなるアクセス権の獲得
アイデンティティ窃盗からランサムウェア・データ窃取へ
攻撃者が重要なアイデンティティを掌握すると、単なる金融詐欺以上のことが可能となります。ファイル共有、コラボレーションツール、知的財産データベース、顧客記録、従業員データなどを探索できます。
また、ネットワーク内部からランサムウェアを展開したり、信頼されたアカウントを使ってサーバーやデータストレージシステムへアクセスすることも可能です。
アカウント乗っ取り攻撃(ATO)
アカウント乗っ取りとは、本人が気づかないうちに他者がアカウントを操作することです。これらのアカウントに対する完全なコントロールを失います。攻撃者はパスワードを変更し、リカバリーオプションを削除し、正規ユーザーがツールにアクセスして業務を行うことを妨げます。
この問題に気づくのは、従業員がログインできなくなった時や、セキュリティツールが異常な設定変更を検知した時、財務チームが不審な支払いやベンダー情報の更新を発見した時です。最初の不正ログインを特定するまでに長い時間がかかり、その時にはすでに手遅れとなっていることが多いです。発見までに数週間から数ヶ月かかることもあり、その間に攻撃者はさらに深く侵入し、復旧や修復作業がより困難になります。
アイデンティティ窃盗の警告サイン
組織内でよく見られるアイデンティティ窃盗の初期警告サインは以下の通りです:
- 従業員の活動と一致しない地域、IPアドレス、ハードウェアからのログイン試行通知
- 複数回のログイン試行の後、不明なソースからの成功したログイン、アカウントへの新しいMFAデバイスや手法の追加(対応するリクエストなし)
- 許可されていないメール転送設定やメールボックスの変更
- 従業員が問題なくアクセスできていたアカウントへの予期しないアクセス停止
- 従業員の業務アカウントに対する本人発信でないパスワードリセット通知
- チケットや人事イベントに該当しない新規アカウントやアイデンティティロールの追加
- 従業員の職務や変更と一致しない予期しない権限昇格
- 正当な理由なくエンドポイント上のセキュリティソフトウェアが突然無効化、ミュート、アンインストールされる
- 財務・人事システムでベンダー銀行情報、給与記録、ルールの予期しない変更が報告される
- 内部メールアドレスから、わずかに修正された請求書や支払い依頼が送信される
その他のアイデンティティ窃盗の兆候
日常的に使用しているアカウントにアクセスできなくなったり、本人が発行していないMFAリクエストを受信したり、見覚えのない新しいMFAデバイスがアカウントに接続されている場合、すでに誰かがログイン情報へアクセスしている警告サインかもしれません。
テレコム詐欺の問題もビジネスセキュリティにおいて依然として重要です。ハッカーがSIMスワップを実行すると、従業員の電話番号を掌握し、認証情報を含む通話やメッセージを傍受して企業の内部システムへアクセスできるようになります。
アイデンティティ窃盗防止のベストプラクティス
以下は、2026年における全従業員およびビジネスシステム向けのアイデンティティ窃盗防止ベストプラクティスです。アイデンティティ窃盗を防ぐための有効なヒントも含みます:
パスワードポリシーを策定する際は、汎用的または共有ログインを使用せず、パスワードは長く、記号や数字を含む複雑なもの、かつユニークなものにしてください。従業員にはシンプルなパスワードの使用を許可せず、パスワードマネージャーの利用を検討しましょう。パスワード保護ポリシーを一貫して適用し、ハッカーが容易に侵入できないようにすることが、アイデンティティ窃盗防止の重要なポイントです。 - カリフォルニア州立大学が述べているように、ソーシャルメディア上での常識と慎重さは依然として重要であり、これはビジネスにも当てはまります。従業員が社内プロジェクト名、技術、管理している特定ツールなどの内部情報を公開しすぎないよう制限しましょう。攻撃者はこれらの情報を利用して信憑性の高いフィッシング誘導を作成します。
- 業務アクセスを管理するコンピュータには、アンチウイルス、アンチスパイウェア、マルウェア対策ソフトウェアを導入・更新してください。ファイアウォールを活用し、常に最新の状態に保つことで、認証情報を盗むマルウェアの実行を防ぎます。
- アイデンティティ情報を保管するベンダーやクラウドサービスのプライバシーポリシーを評価しましょう。不要なデータ共有を無効化できるベンダーや、データ暗号化・伝送プロトコルを明確に説明するベンダーと連携し、予期しないリスクを回避してください。
- 銀行明細、企業カード明細、財務監査時に不審な取引がないか常に監視しましょう。異常な取引や引き出し、受取人情報の更新を発見した場合は、アイデンティティ窃盗攻撃の兆候と捉え、即座に対応してください。
- 未承諾または事前承認済みのオファーを制限し、基本的な本人確認を必要としないデフォルトのオンボーディングプロセスを厳格化しましょう。マーケティングオファーのビジネスメールボックスへの送信方法を管理し、攻撃者が企業名義で新規アカウントを開設しにくくします。
- 企業や組織が社会保障番号や政府発行IDなどの機密アイデンティティ情報を要求する場合は、提供前にその必要性について説明を求めましょう。情報の保管・処理・保護方法について質問し、アイデンティティ窃盗への懸念を伝え、セキュリティ対策の説明を求めてください。情報提供前に相手を必ず確認しましょう。
- 財務やアカウントアクセス権の定期的な監視・監査を実施してください。重要システムにはMFAを導入し、社会保障番号やその他の機密識別子を厳重に保護しましょう。アイデンティティ情報を含む紙文書は廃棄前にシュレッダーにかけ、ダンプスターダイビングによる侵入リスクを防ぎます。
SentinelOneによるアイデンティティ窃盗攻撃の防止支援
組織内のアイデンティティ窃盗は、1台のデバイスやアカウントの侵害から始まることがあります。SentinelOneは、エンドポイントをリアルタイムで監視し、マルウェアや認証情報窃取ツール、不正ログインアクセスを示す活動を検知します。たとえプロセスが正常に見せかけていても検知が可能です。
既知のウイルスパターンだけに頼るのではなく、SentinelOneはファイルやプロセスの挙動を観察します。アカウントやユーザーが保存済みパスワードの収集やキーストロークの記録、ブラウザ防御の回避を試みた場合、SentinelOneは即座に検知し、アラートを発します。
Singularity™ Identity は、ハイブリッド環境におけるアイデンティティ保護と可視化に特化しています。アイデンティティリスクのマッピング、認証情報攻撃のブロック、権限昇格やラテラルムーブメントの防止を実現します。攻撃者は侵害されたログイン情報を使ってシステム間を移動できません。
SentinelOneがアイデンティティ窃盗攻撃を検知した場合、侵害されたデバイスをネットワークから隔離し、悪意ある変更を元に戻し、発生したイベントの詳細なタイムラインを提供します。セキュリティ担当者はパスワードのリセット、影響を受けたユーザーへの通知、さらなるデータ窃取やランサムウェア攻撃に利用される前にオープンな侵入口を閉鎖できます。
組織全体でアイデンティティ窃盗防止を強化し、全員の安全を守りたい方は、今すぐライブデモをご予約ください。
まとめ
企業のアイデンティティ窃盗は、単に個人名義で新規アカウントを作成するのではなく、職場のアイデンティティを盗み悪用することに主眼があります。アカウント、認証情報、アイデンティティ基盤を守るべき重要資産と捉えることで、攻撃者の活動範囲を狭めることができます。
最適なアイデンティティ窃盗防止策を実践し、ベンダーを慎重に選定し、継続的なアクセス・財務システムの監視を徹底してください。これらの対策により、侵害された認証情報が高額な障害や情報漏洩につながるリスクを低減できます。エンドポイントとアイデンティティの両方を監視するための支援が必要な場合、SentinelOneはセキュリティチームに統合コンソールを提供し、アイデンティティベースの攻撃の観測と対策を実現します。
ビジネス環境におけるアイデンティティやアカウントの保護方法については、SentinelOneチームまでお問い合わせください。
よくある質問
個人情報盗難とは、他人の個人情報データを無断で使用し、詐欺やその他の犯罪を行うことです。このデータには、氏名、政府発行のID、金融口座情報、または業務システムのログイン認証情報などが含まれる場合があります。
企業環境では、個人情報盗難は従業員アカウントを中心に発生することが多いです。攻撃者は盗まれた従業員の身元情報を利用して新たな内部アカウントを作成したり、支払い情報を変更したり、不正な送金やデータ送信を承認したりします。
個人情報の盗難は、以下のようなさまざまな方法で発生します。
- 個人情報の窃盗者は、オンライン取引中にデータを傍受したり、郵便物や物理的な書類を盗んだり、フィッシングメールや偽のウェブサイトで人々を騙したりします。
- データ侵害により、一度の事象で大量の記録が流出し、攻撃者はダークウェブのマーケットプレイスから盗まれた情報を購入することもあります。
- ATMや決済端末に設置されたスキミング装置によって、カード情報が依然として収集されています。
- 組織内部では、弱いパスワードや使い回しのパスワード、共有された認証情報がアカウントの盗難を容易にします。攻撃者が最初に個人アカウントへ侵入した場合、パスワードの使い回しやメールによるパスワードリセットを利用して、そこから業務用アカウントへ横展開する可能性があります。
個人情報の盗用にはいくつかの形態があります。以下はその主な種類です:
- 金融系の個人情報盗用は、銀行口座やカードを標的にして資金移動や直接的な購入を行います。
- 医療系の個人情報盗用は、他人の保険情報を利用して治療や処方箋の費用を被害者に請求します。
- シンセティックID盗用は、実在する情報と偽の情報を組み合わせて新たな身元を作り、口座開設や一部の審査を通過します。
- 犯罪系の個人情報盗用は、逮捕時に他人の情報を使用するケースです。
- 税務系の個人情報盗用は、他人名義で確定申告を行い還付金を不正に受け取るものであり、児童の個人情報盗用は未成年のクリーンな信用情報を悪用します。
- 企業環境では、アカウント乗っ取りや従業員・管理者IDの不正利用もこれらのカテゴリーに含まれ、ランサムウェアやデータ窃取の要因となることが多いです。
いいえ、銀行取引や支払い、機密データを扱う業務アカウントで公衆Wi-Fiを利用するのは避けてください。公衆ネットワークは強力な暗号化が施されていないことが多く、攻撃者が通信を傍受して認証情報を盗む可能性があります。
やむを得ず公衆Wi-Fiを利用する場合は、VPNを使用して通信を暗号化し、アクセス範囲を制限してください。それでも、重要なログインには、適切に設定された自宅のWi-Fiやモバイルデータなど、より安全なプライベートネットワークの利用を推奨します。
オンラインでの個人情報盗難リスクを低減するために:
- 各アカウントごとに強力でユニークなパスワードを使用し、利用可能な場合はMFAを有効にしてください。
- オペレーティングシステムやソフトウェアを常に最新の状態に保ち、既知の脆弱性が悪用される機会を減らしましょう。
- 不審なメールやリンクには注意を払いましょう。個人情報や業務情報をSNSや信頼できないウェブサイトで共有せず、定期的に信用情報や口座明細を確認してください。
- 金融取引や業務利用時には安全なWi-Fi接続を利用し、書類は廃棄前に裁断しましょう。
- リスクが高いと感じる場合は、信用情報の凍結や不正利用警告の利用を検討してください。
金融の個人情報盗難を防ぐためのヒントをいくつかご紹介します。
- 銀行やカードの明細を定期的に確認し、身に覚えのない請求がないかチェックしてください。また、可能であれば大きな取引や異常な活動に対するアラートを設定しましょう。
- 金融口座や業務用アカウントごとに異なるパスワードを使用してください。
- 社会保障番号などの高価値な識別情報は非公開にし、必要がない限りそれらの番号が記載された書類を持ち歩かないでください。
- 金融情報を求める予期しない電話やメールには注意し、必ず既知の連絡先を通じて確認してください。
- 機密性の高い書類は安全な場所に保管し、自分名義で新しい口座が開設された際に迅速に通知を受けたい場合はクレジットモニタリングサービスを利用してください。
- 不審な活動を発見した場合は、直ちに銀行やカード発行会社に報告し、被害の拡大を防ぎましょう。
