認証の破損とは何か?
認証の破損は、アプリケーションがユーザーの本人確認およびその認証状態の維持方法に存在する脆弱性を悪用し、攻撃者がユーザーのアイデンティティを侵害できる脆弱性クラスです。ログイン機構、セッション管理、認証情報のリカバリプロセスに欠陥がある場合、攻撃者は正規ユーザーになりすまし、権限を昇格させ、認可されていないシステムアクセスを実現できます。
この脆弱性は、OWASPリストの初期版からすべてに登場しています。OWASPはこのカテゴリの名称や定義を時代とともに変更・洗練してきましたが、認証関連の弱点を広くカバーするようになっただけで、重要性が低下したわけではありません。
認証の破損の範囲は単純なパスワード推測をはるかに超えます。 クレデンシャルスタッフィング、セッション固定、MFAバイパス、トークン偽造、ハードコードされた認証情報、重要機能への認証未実装などが含まれます。このカテゴリ全体のルートCWEはCWE-287であり、最新のOWASP分類では関連する多くのCWEがマッピングされています。
DBIRレポートによると、認証情報の悪用は侵害における主要な初期アクセス手法の一つです。認証の破損の仕組みを理解することで、より効果的に防止できます。
.jpg)
認証の破損はどのように機能するか?
認証の破損は、脆弱性を2つの異なる失敗ドメインで悪用します。1つはアプリケーションがユーザーをどのように認証するか(認証)、もう1つはその認証状態をどのように維持するか(セッション管理)です。各ドメインは異なる攻撃面を持ちますが、いずれも最終的には不正アクセスにつながります。
認証の失敗
アプリケーションがユーザーの本人確認を適切に行わない場合、攻撃者は正面から侵入できます。クレデンシャルスタッフィング攻撃は、盗まれたユーザー名とパスワードの組み合わせをログインエンドポイントに送信します。レート制限やアカウントロックアウトがなければ、攻撃者は大規模に認証情報を試行し、有効な組み合わせを見つけることができます。
攻撃の流れは単純です。攻撃者は過去の侵害からクレデンシャルダンプを入手し、それらを自動化ツールに投入してログインページを狙います。アプリケーションが試行ごとにスロットリングやロックアウト、CAPTCHAを設けていなければ、有効な組み合わせが一致した時点で攻撃者はアカウントに完全アクセスできます。
ブルートフォース攻撃も同様のパターンですが、既知の認証情報を再利用するのではなくパスワードの組み合わせを生成します。パスワードスプレーは逆のアプローチで、1つの共通パスワードを多数のアカウントに同時に試行し、アカウントごとのロックアウト閾値を回避します。
セッション管理の失敗
正しく認証した後でも、セッション管理の欠陥により認証状態が攻撃者に渡ることがあります。セッション固定攻撃(CWE-384)では、攻撃者がログイン前に既知のセッションIDを設定します。アプリケーションが認証後にセッションIDを再生成しない場合、攻撃者は事前に設定したIDで認証済みセッションにアクセスできます。
セッショントークンの露出も別の経路です。セッションIDがURLに含まれると、サーバーアクセスログやブラウザ履歴、HTTPリファラヘッダーに記録されます。URLを入手した攻撃者はセッションを奪取できます。不十分なセッション有効期限(CWE-613)も問題を悪化させます。ブラウザタブをログアウトせずに閉じた場合、同じブラウザを使う他者がセッションを再利用できる可能性があります。
MFAバイパス
多要素認証は2段階目の検証レイヤーを追加しますが、攻撃者は信頼性の高いバイパス手法を開発しています。MFA疲労(プロンプトボミングとも呼ばれる)は、ユーザーのデバイスにプッシュ通知を大量に送り、ユーザーが煩わしさから承認するまで続けます。Uber侵害は、盗まれた認証情報、繰り返されるMFAプロンプト、ソーシャルエンジニアリングが連鎖して内部システムへのアクセスを得た例としてよく引用されます。
これらのメカニズムが成立するのは、認証の破損が単一の欠陥ではなく、弱い認証情報、レート制限の欠如、セッション管理の不備など、複数の弱点が連鎖して攻撃者に悪用されるためです。
認証の破損の種類
認証の破損は単一の脆弱性ではなく、6つの異なる失敗タイプにまたがるカテゴリです。それぞれが認証スタックの異なるレイヤーを標的とし、対策も異なります。
| タイプ | 失敗する要素 | 一般的な攻撃手法 | 主なCWE |
| 認証情報ベースの攻撃 | パスワードポリシー、レート制限 | クレデンシャルスタッフィング、ブルートフォース、パスワードスプレー | CWE-307, CWE-521 |
| セッション管理の欠陥 | セッションIDのライフサイクルと保存 | セッション固定、セッションハイジャック、クッキー窃取 | CWE-384, CWE-613 |
| MFAバイパス | 二要素認証の実装 | MFA疲労、TOTPリレー、SIMスワッピング | CWE-308 |
| トークン偽造 | 暗号鍵の保護 | SAMLアサーション偽造、JWT改ざん、OAuthトークン窃取 | CWE-347, CWE-345 |
| ハードコードされた認証情報 | コード内の認証情報管理 | ソースや設定ファイルからの静的認証情報抽出 | CWE-798 |
| 認証未実装 | 重要機能への認証強制 | 直接オブジェクトアクセス、APIエンドポイントバイパス、代替パスアクセス | CWE-306, CWE-288 |
どのタイプがアプリケーションに存在するかを理解することで、適用すべきコントロールや調査すべきフォレンジック証拠が決まります。クレデンシャルスタッフィングにはレート制限とMFAが必要ですが、管理APIの認証未実装には根本的に異なる対応が求められます。
認証の破損の原因
認証の破損は単一の設計ミスから生じるものではありません。 OWASPガイダンスが指摘するように、アクセス制御の破損、暗号化の失敗、古いライブラリなど他のTop 10リスクと相互に関連する4つのカテゴリにまたがる弱点の複合から発生します。
認証情報ポリシーの失敗
弱い、デフォルト、または既知のパスワードを許容することが最も基本的な原因です。アプリケーションが一般的なデフォルトパスワードを強制せずに受け入れる場合、攻撃者に容易な侵入口を与えます(CWE-521)。NIST 63B-4は新しいパスワードを既知の漏洩リストと照合することを求めていますが、多くのアプリケーションはこの手順を省略しています。
パスワードの使い回しは問題をさらに悪化させます。 DBIRレポートは、サービス間でのパスワード使い回しが依然として一般的であり、盗まれた認証情報が攻撃者にとってより有用になることを強調しています。
認証フロー設計の失敗
MFA未実装(CWE-308)は、盗難・推測・フィッシングされうる単一要素のみでアカウントが保護されることを意味します。知識ベースの回答に依存する弱い認証情報リカバリ機構は、容易に推測可能な並行認証経路を作ります。ログイン試行にレート制限がない場合(CWE-307)、攻撃者は大量の組み合わせを無制限に試せます。
ソースコードや設定ファイルにハードコードされた認証情報(CWE-798)は完全な設計失敗です。この弱点は最近のCWE Top 25にも登場し、 CISAアラートでも産業制御システムへの実際の悪用が確認されています。
セッションライフサイクル管理の失敗
セッションライフサイクルの失敗は3つの直接的な攻撃経路を生み出します:
- ログイン後にセッションIDを再生成しないと、セッション固定攻撃が可能
- アイドルまたは絶対タイムアウトなしでセッションを維持すると、セッションハイジャックのウィンドウが拡大
- セッショントークンをURLに埋め込むと、URLを記録・キャッシュするすべてのシステム経由で認証情報が漏洩
これらの失敗はそれぞれ独立してリスクを高め、組み合わさることで攻撃者に複数の不正アクセス手段を与えます。
暗号化およびトランスポートの失敗
パスワードを平文で保存したり、可逆暗号や弱いハッシュアルゴリズムを使用すると、データベース侵害時に認証情報が直接漏洩します。証明書検証不備(CWE-295)などのトランスポート層の失敗は、攻撃者による認証トラフィックの傍受を可能にします。これらの原因はOWASP A02:2021「暗号化の失敗」とも重なり、認証の破損が他の脆弱性カテゴリと交差することを示しています。
これら4カテゴリは単独で現れることは稀です。弱い認証情報ポリシーはクレデンシャルスタッフィングを可能にし、レート制限の欠如はそれを現実的にし、セッション管理の不備は攻撃者の滞在期間を延長します。自システムにどの原因が存在するかを理解することで、リスクの重大性と対策の優先順位が決まります。
認証の破損の影響とリスク
認証の破損の結果は、個別アカウントの侵害から組織全体の侵害、規制・財務・運用上の影響にまで及びます。
侵害の多発
認証の失敗は最も多く悪用される初期アクセス経路の一つです。 DBIRレポートは、認証情報の悪用が依然として主要な侵害要因であることを確認しています。特に金融サービス分野では、盗まれた認証情報によるWebアプリケーション攻撃が顕著です。
財務的影響
IBMレポートによると、2024年のデータ侵害の世界平均コストは488万ドルに達し、前年から10%増加しました。 金融サービス組織では1件あたり608万ドルと、世界平均を22%上回っています。直接的な費用以外にも、侵害を受けた組織の70%が重大または中程度の運用障害を報告しています。
ビジネスへの連鎖的影響
認証の破損は単独で収まることは稀です。侵害された認証情報は、ラテラルムーブメント、権限昇格、データ流出、ランサムウェア展開の足掛かりとなります。Verizon DBIRは、ランサムウェア被害と認証情報ダンプに被害者ドメインが含まれることの相関を指摘し、認証の弱点がランサムウェアリスクに直結することを示しています。
認証の破損は抽象的なアプリケーションセキュリティの問題ではなく、侵害の出発点となる主要なメカニズムです。
攻撃者は認証の破損をどう悪用するか
攻撃者は発見した認証の弱点に応じて手法を選択します。以下は主な悪用技術と、それぞれが標的とするCWEの対応です。
MFA疲労とソーシャルエンジニアリング
MFAがクレデンシャルスタッフィングを阻止した場合、攻撃者はソーシャルエンジニアリングに移行します。MFA疲労は正規ユーザーに繰り返しプッシュ通知を送り、承認されるまで続けます。CISAアドバイザリでは、休眠アカウントの弱いパスワードをブルートフォースした後、Duoのデフォルト設定により非アクティブアカウントでMFA再登録が可能だったため、攻撃者が新しいMFAデバイスを登録しネットワークアクセスを得た手法が記録されています。
SAMLトークン偽造
SolarWinds/SUNBURSTキャンペーンでは、攻撃者がActive Directory Federation Servicesコンテナから秘密暗号鍵を抽出し、どのリライングパーティにも有効に見えるSAMLアサーションを偽造しました。 CISAアドバイザリによると、このGolden SAML手法は正規認証情報を持たずに認証を完全にバイパスし、米国連邦機関のクラウド環境へのアクセスを実現しました。
トークン開示によるセッションハイジャック
CVE-2023-4966(Citrix Bleed)は、攻撃者がリモートアクセスアプライアンスから有効なセッショントークンを抽出できる脆弱性です。盗まれたセッショントークンにより、攻撃者は既に認証済みのユーザーになりすまし、パスワードやMFAを完全にバイパスできます。CISAはパッチ公開前からゼロデイ悪用が確認されたとしています [cite-19]。
代替パスによる認証バイパス
一部の脆弱性は認証要件自体を排除します。あるネットワークアプライアンスの欠陥では、Node.js WebSocket経由で認証なしにスーパ管理者アクセスが可能となり、重大な深刻度評価を受けました [cite-20]。また、管理インターフェースの欠陥により、Web管理インターフェース経由で認証なしに管理者権限昇格が可能でした。管理インターフェースの問題は CWE-306(重要機能への認証未実装)、WebSocketの問題は CWE-288(代替パスやチャネルによる認証バイパス)に該当します。
キャプチャ・リプレイ攻撃
攻撃者は認証トークンや認証情報を通信中に傍受し、それを再送してアクセスを得ます(CWE-294)。RFC 9700で規定される送信者制約付きトークンがない場合、OAuth実装はこの手法に脆弱です。
これらの各手法は異なるフォレンジックシグネチャを生み出し、検出・対応方法を決定します。
認証の破損の影響を受けるのは誰か?
認証の破損は、ユーザーアイデンティティによるアクセス制御に依存するすべての組織に影響しますが、特定の業種やシステムタイプはリスクが高くなります。
WebアプリケーションとAPI
独自に認証を管理するすべてのアプリケーションは直接的なリスクにさらされます。OWASPは、 OWASP API SecurityプロジェクトでAPI固有の認証の破損を明示的に扱い、認証エンドポイントには通常のAPIレート制限より厳格なブルートフォース対策が必要であるとしています。
クラウドおよびSaaSプラットフォーム
Snowflake/UNC5537キャンペーンは、単一要素認証のクラウドプラットフォームが高価値標的であり、多くの組織がMFA未実装アカウントのために侵害されたことを示しました。認証をIdPに委譲するクラウドプラットフォームは、IdPの弱点をそのまま引き継ぎます。
金融サービス
金融機関は特に高いリスクに直面しています。 Verizon finance snapshotは、金融サービス分野のWebアプリケーション侵害の大半が盗まれた認証情報によるものであることを示しています。PayPalのクレデンシャルスタッフィング事件では、 規制上の和解と米国顧客アカウントへのMFA義務化が発生しました。
重要インフラおよびネットワークアプライアンス
VPNゲートウェイ、ファイアウォール、ネットワーク管理インターフェースは主要な標的です。CVE-2019-11510、CVE-2024-55591、CVE-2024-53704はいずれも、CISAの既知悪用脆弱性カタログに追加された境界デバイスの認証バイパス脆弱性です。
医療・政府機関
機微な個人データを扱う組織は、侵害リスクと規制上の影響の両方に直面します。CISAは、 CISAの認証評価で、弱い認証が連邦ハイバリューアセットシステムの主要な指摘事項であることを記録しています。
以下の侵害事例は、これらのリスクが業界を問わず現実化する様子を示しています。
認証の破損の実例
これらの侵害事例は、認証の破損が業種・攻撃手法・影響規模を問わずどのように現れるかを示しています。
23andMe:クレデンシャルスタッフィングによる大規模データ露出
攻撃者は、過去の侵害で流出したパスワードと一致する23andMeユーザーアカウントの一部にクレデンシャルスタッフィングを実施しました。DNA Relatives機能を通じて、その足掛かりからより広範なプロファイルデータが露出しました。 23andMeのSEC提出書類によると、同社はインシデント関連費用を計上しています。侵害当時、MFAは必須ではありませんでした。
Snowflake/UNC5537:インフォスティーラー認証情報の後日悪用
UNC5537は、 認証情報窃取型マルウェアを用いてSnowflakeクラウドデータウェアハウスアカウント経由で組織を侵害しました。Mandiantの調査によると、影響を受けたアカウントはいずれもMFAが有効化されていませんでした。被害組織にはTicketmaster、Santander Bank、Advance Auto Partsが含まれます。
SolarWinds/SUNBURST:SAMLトークン偽造
ロシア国家系攻撃者はSolarWindsのビルドプロセスを侵害し、そのアクセスでADFS秘密暗号鍵を窃取しました。 CISAレポートによると、攻撃者は信頼されたSAML認証トークンを偽造し、正規認証情報を持たずに米国政府機関のクラウド環境にアクセスしました。
PayPal:クレデンシャルスタッフィングと規制対応
攻撃者はクレデンシャルスタッフィングで顧客アカウントにアクセスし、機微な顧客データが露出しました。ニューヨークDFSは 規制上の和解を課し、米国顧客アカウントへのMFA義務化を要求しました。
GoDaddy:複数年にわたる認証情報侵害
管理者パスワードの侵害により、攻撃者はGoDaddyのManaged WordPress環境にアクセスしました( GoDaddyの侵害報告)。現役・非アクティブ両方のManaged WordPress顧客が影響を受け、WordPress管理者認証情報、FTPアカウント、メールアドレスが盗まれました。攻撃者はマルウェアも設置し、ソースコードも入手しました。
Yahoo:大規模なクッキー偽造
Yahooの侵害は最終的に全30億ユーザーアカウントに影響を及ぼしました( New York Times報道)。攻撃者は偽造認証クッキーを用いてパスワードなしでアカウントにアクセスしました。後の侵害では管理者認証情報を標的としたスピアフィッシングも発生し、クッキー偽造は国家支援型攻撃者と関連付けられました。
これらの事例は、過去20年にわたる広範な歴史的パターンの一部です。
認証の破損:タイムライン
認証の破損の歴史は、初期のセッション管理の欠陥から今日のアイデンティティ層攻撃まで、Webセキュリティの進化そのものを反映しています。
| 年 | マイルストーン |
| 2004 | 初のOWASP Top 10公開。「Broken Authentication and Session Management」がA3に指定。 |
| 2012 | LinkedIn侵害でソルトなしSHA-1ハッシュによる大規模認証情報流出。 |
| 2013 | Yahoo侵害で全ユーザーアカウントが影響。悪意あるコードがアカウント制御をバイパス。OWASPで認証の破損がA2に。 |
| 2017 | OWASP Top 10で認証の破損がA2に据え置かれ、大規模な認証情報コレクションの存在が強調。 |
| 2019 | CVE-2019-11510(Pulse Connect Secure)がCISA KEVに追加。 |
| 2020 | SolarWinds/SUNBURST:SAMLトークン偽造で米国連邦機関が侵害。 |
| 2021 | CISAがロシア国家系攻撃者によるDuo MFAバイパス(休眠アカウント再登録)を記録。OWASPがカテゴリをA07に再分類。 |
| 2022 | UberがMFA疲労で侵害。PayPalのクレデンシャルスタッフィングで規制対応。 |
| 2023 | 23andMeのクレデンシャルスタッフィングで数百万プロファイルが露出。Citrix Bleedでセッションハイジャック。 |
| 2024 | Snowflake/UNC5537キャンペーンでMFA未実装組織が多数侵害。 |
| 2025 | OWASP Top 10:2025でカテゴリがさらに拡張。CVE-2024-55591が重大な注目を集め、Verizon DBIRが認証情報悪用を主要な初期アクセス経路と確認。 |
認証の破損はWebアプリケーションの欠陥から、アプリケーション・インフラ・クラウド環境にまたがるフルスタックのアイデンティティセキュリティ問題へと発展しています。
認証の破損の検出方法
認証の破損を発見するには、アプリケーション設計の欠陥、実行時の認証情報悪用、認証後の行動異常をカバーする多層的アプローチが必要です。
ログおよびセッション分析
OWASP Authentication Cheat Sheetは、すべての認証失敗、パスワード失敗、アカウントロックアウトを記録・レビューすることを規定しています。クレデンシャルスタッフィングを示すパターン(同一IPレンジから多数のアカウントへのログイン失敗、または1アカウントへの多地域からの失敗)を探します。
OWASP Session Management Cheat Sheetは、再認証チャレンジをトリガーすべきセッションイベント(新規または疑わしいIPからのログイン、パスワード変更試行、アカウントリカバリ完了)を特定しています。ユーザー設定のセッションIDを受け入れる寛容なセッション管理(脆弱)と、サーバー生成IDのみを受け入れる厳格なセッション管理(安全)を区別します。
動的アプリケーションセキュリティテスト(DAST)
OWASP Testing Guideは、WSTG-ATHNシリーズで認証固有のテスト手順を定義しています。これにはデフォルト認証情報、弱いロックアウト機構、認証スキーマバイパス、脆弱なパスワードリセットフロー、弱いセキュリティ質問、MFA実装の欠陥のテストが含まれます。DASTスキャナやパスワードテストツールは、これらのテストを実行中のアプリケーションに対して実施します。
ハードコード認証情報の静的解析
静的アプリケーションセキュリティテスト(SAST)ツールは、デプロイ前のソースコードをスキャンし、ハードコードパスワード(CWE-798)、弱い暗号実装、不適切なセッションロジックを検出します。これは、DASTでは外部インターフェースから到達できないコードパスの認証情報管理の欠陥も検出できます。
アイデンティティ脅威の検出と対応(ITDR)
攻撃者が盗まれた正規認証情報を使う場合、ネットワークやエンドポイントセキュリティでは検出が困難です。 ITDRシステムはアイデンティティ層を監視し、認証イベントを行動ベースラインと比較します。異常検知例として、異常な地理からのログイン、無関係なデータセット間のラテラルムーブメント、異常な権限昇格要求などがあります。 XDRアーキテクチャは、認証異常とその後のネットワーク層ラテラルムーブメントを相関させ、サイロ化されたツールでは見逃す攻撃チェーン全体を可視化します。
認証の破損の防止方法
防止策は根本原因に直接対応します。以下の各コントロールは、認証の破損のサブタイプごとに対応し、関連する標準を参照しています。
フィッシング耐性MFAの導入
CISAガイダンスは、FIDO2/WebAuthnおよびPIV/CACスマートカードを フィッシング耐性MFAのゴールドスタンダードとしています。プッシュ型MFAは疲労攻撃やリアルタイムフィッシング(ワンタイムコードの詐取)に脆弱です。NIST SP 800-63Bは、より強力な保証レベルで承認済みMFAを要求しています。
最新の認証情報ポリシーの強制
NIST 63B-4要件に準拠:新しいパスワードを既知漏洩リストと照合、Unicodeや空白を含むすべての文字種を許可、最小長の強制、定期的な変更は不要。OWASP Authentication Cheat Sheetは、パスワード強度メーターの導入と、漏洩が確認された場合のみ認証情報をローテーションすることを推奨しています。
保存については、 パスワード保存チートシートはArgon2idを主要ハッシュアルゴリズムとし、scrypt、bcrypt、PBKDF2も許容代替案としています。適切なソルト、ペッパー、ワークファクター設定、レガシーハッシュのアップグレードパスも含めます。
レート制限とアカウントロックアウトの実装
認証エンドポイントには、標準APIレート制限より厳格なブルートフォース対策を適用します。 OWASP API Security 2023プロジェクトは、アカウントロックアウト、CAPTCHA、進行的遅延の実装を規定しています。OWASP Testing Guideも実際に使われているロックアウト閾値を記載しています。
ユーザーが認証に成功した後は、セッション自体が新たな攻撃面となります。セッションの発行・保存・有効期限管理の安全性も同等に重要なコントロールです。
セッション管理の強化
サーバー生成の高エントロピーなセッションID(暗号学的に安全な乱数生成器使用)を利用し、ログイン成功ごとにセッションIDを再生成します。アイドル・絶対タイムアウトを設定し、セッショントークンをURLに埋め込まないでください。 OWASP Session Management Cheat Sheetは、独自実装ではなくJ2EE、ASP.NET、PHPなどの組み込みセッション管理フレームワークの利用を推奨しています。
アカウント列挙・リカバリの強化
すべての認証結果で同一のレスポンスメッセージを返し、攻撃者が有効・無効なユーザー名を判別できないようにします。 パスワードリセットチートシートは、セキュリティ質問を唯一のリカバリ手段とせず、認証情報リカバリエンドポイントにもログインエンドポイントと同等のブルートフォース対策を求めています。
デフォルト認証情報の排除
OWASP A07は「特に管理者ユーザーについて、デフォルト認証情報を出荷・デプロイしないこと」と明記しています。デプロイチェックリストにデフォルト認証情報の確認を含めてください。
OAuthやOIDCを利用するアプリケーションでは、強力な認証情報やセッション衛生だけでは不十分です。トークンレベルのコントロールが、認証情報層を超えるリプレイ・偽造攻撃を防ぎます。
OAuth/OIDCのトークンセキュリティ強制
RFC 9700は送信者制約付きアクセストークン、パブリッククライアントのリフレッシュトークンローテーション、RFC 8705に基づくMutual TLSを要求し、トークンリプレイ攻撃を防止します。
これらのコントロールの実装には、複数のセキュリティレイヤーにわたる適切なツールが必要です。
検出・防止のためのツール
認証の破損を阻止するには、単一カテゴリのツールだけでは攻撃面全体をカバーできません。複数カテゴリのツールによるカバレッジが必要です。
| ツールカテゴリ | 主な機能 | 対応する認証攻撃 |
| DASTツール | 実行時の認証フローテスト | バイパス、弱いロックアウト、セッショントークン露出、デフォルト認証情報 |
| SASTツール | デプロイ前のソースコード解析 | ハードコード認証情報、弱い暗号、不適切なセッションロジック |
| ITDR | アイデンティティ層の行動監視 | クレデンシャルスタッフィング、侵害後のラテラルムーブメント、権限昇格 |
| アイデンティティ相関付きXDR | クロスレイヤーテレメトリ(エンドポイント、ネットワーク、クラウド、アイデンティティ) | 認証後のラテラルムーブメント、不可能な移動、攻撃チェーン全体の再構築 |
| 行動AI / UEBA | 認証イベントストリームの統計的異常検知 | 認証情報悪用、異常なサービスアカウント活動 |
単一ツールでは攻撃面全体をカバーできません。効果的なカバレッジには、デプロイ前テスト、実行時の行動監視、アイデンティティ層の相関分析を全ソースで組み合わせる必要があります。以下はSentinelOneがそのスタックをエンドツーエンドでどうカバーするかの説明です。
SentinelOneはどのように支援できるか?
攻撃者が認証情報を盗むと、迅速に行動します。SentinelOneは、アイデンティティベース攻撃をリアルタイムで環境全体にわたり検知・阻止します。当社ソリューションの連携例を紹介します。
Singularity™ AI SIEM:脅威の広範な可視化
Singularity™ AI SIEMから始めましょう。エンドポイント、ネットワーク、クラウドサービス、アイデンティティプロバイダーから認証テレメトリを収集し、すべてを一元的に相関します。行動分析により、不可能な移動パターン(同一トークンが数分差でニューヨークと東京で使用)、同時セッション異常、トークン操作による権限昇格を検知します。2024年MITRE ATT&CK評価では、Singularityプラットフォームは攻撃ステップの100%を遅延ゼロで検知し、中央値より88%少ないアラート数を実現—運用チームがノイズに埋もれることはありません。
Singularity™ Identity:攻撃者より先に弱点を発見
Singularity™ Identityは、継続的なアイデンティティ脅威検知・対応(ITDR)を提供します。オンプレミスActive DirectoryやEntra ID、Okta、Ping、Duo、SecureAuthなどのクラウドIDプロバイダー全体で、弱い・露出・侵害された認証情報をスキャンします。ログイン失敗の異常な急増、異常な場所からのログイン、サービスアカウントへのKerberosting試行も可視化します。アイデンティティセキュリティポスチャ管理(ISPM)も含まれ、単発監査ではなく継続的なポスチャ評価が可能です。
Purple AI:自然言語で質問し、迅速に回答
アラート発生時、Purple AIが調査を加速します。「この侵害アカウントが過去72時間にアクセスした全システムを表示」など、平易な英語で質問するだけで、MITRE ATT&CK戦術コンテキスト付きの相関結果が得られます。IDC Business Value調査によると、Purple AIを利用するセキュリティチームは脅威特定が63%高速化、対応も55%高速化しています。
Singularity™ Data LakeとStoryline™ の活用
すべてのイベントデータはSingularity™ Data Lakeに集約され、Open Cybersecurity Schema Framework(OCSF)に正規化されます。クエリは従来型SIEMの最大100倍高速です。Storyline技術が攻撃チェーン全体を再構築し、初期の認証情報窃取からラテラルムーブメント、権限昇格、データアクセスまでを一連のタイムラインで可視化—手動相関は不要です。
SentinelOneデモをリクエストし、Singularity AI SIEMとSingularity Identityの実際の動作をご覧ください。
関連する脆弱性
認証の破損は、他の複数の脆弱性クラスと交差・連携します:
- アクセス制御の破損(OWASP A01:2021):認証は「誰か」を確認し、アクセス制御は「何ができるか」を制御します。攻撃者が任意の有効アカウントにアクセスできる認証の破損は、そのアカウントの権限を引き継ぐため、アクセス制御が無意味になります。
- 暗号化の失敗(OWASP A02:2021):弱いパスワードハッシュ、平文認証情報保存、不適切な証明書検証は、認証の破損を直接的に可能にする暗号化の失敗です。
- セキュリティ設定ミス(OWASP A05:2021):デフォルト認証情報、寛容なMFA再登録設定、過度に長いセッションタイムアウトは、認証の弱点を生む設定ミスです。
- サーバーサイドリクエストフォージェリ(SSRF):SSRFは、認証バイパスと組み合わせて、侵害サーバーからのリクエストを信頼する内部サービスへのアクセスに利用されます。
- インジェクション脆弱性:SQLインジェクションによって認証クエリが改ざんされ、認証ロジック自体が完全にバイパスされる場合があります。
- 認証情報窃取(MITRE ATT&CK T1078 Valid Accounts):いかなる手段で取得した有効アカウントの利用は、認証の破損のポストエクスプロイト段階に直結します。
認証の破損への対応は、単独でアイデンティティリスクを低減するだけでなく、強固な認証情報ポリシー、MFA強制、セッション管理強化により、アクセス制御の破損・暗号化の失敗・設定ミスが依存する共通攻撃面も縮小します。
関連するCVE
| CVE ID | 説明 | 深刻度 | 影響製品 | 年 |
| モバイルデバイス管理プラットフォームのAPI認証バイパスにより、認証なしで制限機能にアクセス可能 | 高 | Ivanti Endpoint Manager Mobile | 2025 | |
| コード実行エンドポイントの認証未実装により、認証なしでリモートコードインジェクションが可能 | クリティカル | Langflow AI workflow platform | 2025 | |
| 管理Webインターフェースの認証未実装により、認証なしで管理者アクセスが可能 | 高 | Palo Alto PAN-OS | 2025 | |
| SSLVPNコンポーネントの不適切な認証により、攻撃者がアクティブなVPNセッションをハイジャック可能 | 高 | SonicWall SonicOS | 2024 | |
| 管理コンソールの認証バイパスにより、認証なしでリモート攻撃者が完全な管理者アクセスを取得可能 | クリティカル | Ivanti Cloud Services Appliance | 2024 | |
| 代替パスによる認証バイパスで、リモートサポートプラットフォームの完全な認証なし乗っ取りが可能 | クリティカル | ConnectWise ScreenConnect | 2024 | |
| メモリからのセッショントークン開示により、攻撃者が認証済みセッションをハイジャックしMFAをバイパス可能(Citrix Bleed) | クリティカル | Citrix NetScaler ADC and Gateway | 2023 | |
| 重要APIエンドポイントの認証バイパスにより、CI/CDサーバーで認証なしリモートコード実行が可能 | クリティカル | JetBrains TeamCity | 2023 | |
| API認証バイパスにより、認証なしで制限エンドポイントや機微データにアクセス可能 | クリティカル | Ivanti Endpoint Manager Mobile | 2023 | |
| 古いApache xmlsecライブラリによるSAML認証バイパスで、認証なしリモートコード実行が可能 | クリティカル | Zoho ManageEngine(20以上の製品) | 2022 | |
| 代替パスやチャネルによる認証バイパスで、認証なしで特権操作が可能 | クリティカル | Fortinet FortiOS / FortiProxy / FortiSwitchManager | 2022 | |
| iControl REST APIの認証未実装により、認証なしで任意システムコマンド実行が可能 | クリティカル | F5 BIG-IP | 2022 | |
| OpenSSO Agentコンポーネントの認証未実装により、HTTP経由で認証なしにシステム全体の乗っ取りが可能 | クリティカル | Oracle Access Manager(Fusion Middleware) | 2021 | |
| SSRF脆弱性により、認証前バイパスと認証なしリモートコード実行が可能(ProxyLogon) | クリティカル | Microsoft Exchange Server | 2021 | |
| Windows File Share BrowserおよびCollaboration機能の認証バイパスで、認証なしRCEが可能 | クリティカル | Ivanti Connect Secure(Pulse Connect Secure) | 2021 | |
| 変更不可のハードコードアカウントにより、SSHおよびWeb UI経由で認証なしフル管理者アクセスが可能 | クリティカル | Zyxel USG / ATP / VPNファームウェア | 2020 | |
| Experimental APIの認証未実装により、認証なしリモートアクセスおよび任意コード実行が可能 | クリティカル | Apache Airflow | 2020 | |
| ユーザー名の大文字小文字処理不備により、FortiTokenなしでSSL VPNの二要素認証をバイパス可能 | クリティカル | Fortinet FortiOS SSL VPN | 2020 | |
| wsdReadFormエンドポイントの認証バイパスにより、ハードコードXORキーで全ユーザー認証情報の取得・復号が可能 | 中 | eWON Firmware 12.2–13.0 | 2019 | |
| ログインエンドポイントのSQLインジェクションにより、認証を完全にバイパスしダッシュボードに認証なしでアクセス可能 | クリティカル | E Learning Script 1.0 | 2019 | |
| POSTパラメータ経由のSQLインジェクションで認証バイパスおよび不正なデータベースアクセスが可能 | 高 | Simplejobscript | 2019 |
まとめ
認証の破損は、エンタープライズ侵害における最も多く悪用される初期アクセス経路の一つであり続けています。認証コントロールが失敗すると、攻撃者は弱いパスワード、脆弱なセッション、MFAバイパス、チェック漏れを利用してアカウントを完全に侵害できます。
フィッシング耐性MFA、最新の認証情報ポリシー、安全なセッション管理、盗まれた認証情報の利用状況を可視化するアイデンティティ層の監視により、そのリスクを低減できます。
よくある質問
Broken Authenticationは、アイデンティティの信頼が失われる状態です。アプリケーションがユーザーの正当性を確実に検証できない、またはログイン後にそのアイデンティティを安全に維持できない場合に発生します。
実際には、弱い認証情報チェック、脆弱なリカバリーフロー、セッション管理の不備などが含まれ、攻撃者が正規ユーザーとして振る舞うことを可能にします。
はい。OWASPは2004年のTop 10開始時からこのカテゴリを含めています。名称の変遷も重要です。「Broken Authentication」から「Identification and Authentication Failures」、さらに「Authentication Failures」への変更は、リスクがパスワード、MFA、セッション状態、フェデレーション、代替アクセス経路にまで広がっていることを示しています。
通常は可能です。信頼境界は多くの場合、インターネットに面したログイン、API、VPNゲートウェイ、SaaSアカウント、管理インターフェース上にあります。
攻撃者は有効な認証情報の再利用、公開された認証経路の悪用、セッションの乗っ取りなどを行い、従来のエクスプロイトではなく通常のアクセスのように見せかけることができます。
最もリスクが高いのは、他のシステムのアイデンティティ判定を行うシステムです。Webアプリ、API、クラウドコンソール、SSO連携サービス、境界デバイスなどが該当します。
シンプルなルールとして、ログイン後にアカウントが操作できる範囲が広いほど、認証失敗時の被害も大きくなります。
多くの場合、テストと再利用を組み合わせます。テストによってロックアウトやリカバリー、MFA、セッション動作の弱点が明らかになります。再利用では、盗まれた認証情報やトークン、既知のCVEなどが使われます。
そのため、攻撃者は新たなエクスプロイトを必要とせず、比較的低コストで発見できます。
初期兆候は通常、単一のアラートではなくパターンとして現れます。分散したログイン失敗、不可能な移動、異常なリカバリー操作、繰り返されるMFAプロンプト、成功したログイン後の新しいセッション動作などが一般的な指標です。
重要なシグナルは、認証、セッション、権限イベントをまたぐ一連の動作です。
非常に深刻です。なぜなら、すべての制御の前提となる認証制御が破られるためです。認証が失敗すると、攻撃者は通常ユーザー権限、特権アクセス、フェデレーションによる下流システムへの信頼を引き継ぐ可能性があります。
この被害範囲の広さが、認証情報の悪用や認証バイパスの脆弱性が重大な侵害につながる理由です。
はい。認証の失敗は多くの場合、侵入の入り口であり、最終目的ではありません。侵入後、攻撃者はラテラルムーブメント、権限昇格、クラウドリソースへのアクセス、信頼されたアイデンティティチャネルを通じた永続化が可能です。
1つのアカウントが侵害されるだけで、組織全体のアクセス問題に発展することがあります。
一部のみ可能です。自動テストは、ロックアウトの弱点、リカバリーの不備、制御の欠如、ハードコードされた認証情報の発見には有効です。しかし、攻撃者が有効な認証情報や盗まれたトークンを使用する場合は、正規の操作に見えるため検出が困難です。
そのため、アイデンティティ監視や多層的な相関分析が重要となります。
最もリスクが高いのは、認証済みアクセスが直接、規制データ、資金移動、管理権限、重要な運用に結びつく業界です。金融サービス、政府、医療、クラウド依存の企業、インフラ運用者などが該当します。
共通のリスク要因は、信頼されたアカウントが解放できる価値と範囲です。
