攻撃者がアイデンティティ情報を狙う理由：エンドポイントセキュリティでは守れない、アイデンティティの不正利用第1回 LAC WATCH

```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` 現在、個人で利用するPCやスマートフォンといった端末やWebサービスなどもあわせ、個人がメールアドレスやパスワード、アカウント名、所属情報など数多くのアイデンティティ情報を運用しています。この状況は業務でも同様で、所属組織の業務端末やサーバのアイデンティティ情報の他、営業担当者であれば取引先のWebポータルへのログイン情報、システム管理者であれば組織内のネットワーク機器やサーバの特権ユーザとしてのアカウントなど、様々なアイデンティティ情報を利用しています。攻撃者はこれらのアイデンティティ情報を窃取し、機密情報の取得のみならずなりすましによりさらなる侵害拡大を行うため、セキュリティ担当者はアイデンティティ情報の保護を求められています。しかし、これらのアイデンティティ情報の侵害による不正アクセスはNGAV（次世代アンチウイルス）やEDRなどのエンドポイントセキュリティ製品では検出できないことがほとんどです。そこで本記事では、アイデンティティ情報を取り巻く脅威と保護ソリューションについて連載でご紹介します。1回目となる今回は、アイデンティティ情報の侵害がどのような脅威かを示すとともに、なぜ攻撃者がアイデンティティ情報を狙うのかに焦点を当てて解説します。 ## アイデンティティ情報とはまず初めにアイデンティティ情報とは何かを簡単に整理します。過去に公開している記事でも解説しているとおり、アイデンティティ情報とは「属性の集合」です。関連記事 - [デジタル "アイデンティティ"とは何か？～広がるアイデンティティ管理の領域～](https://www.lac.co.jp/lacwatch/people/20221212_003213.html) サイバーセキュリティにおいてアイデンティティ情報とは、ログインに使用する「認証情報」を包含する様々な情報の集合体を意味します。アイデンティティ情報の保護という場合、単にIDやパスワードの保護だけではなく、対象のアカウントが持つアクセス権限や接続元IPアドレス、接続元の地理的情報（ジオロケーション）等も管理対象です。昨今のサイバーセキュリティにおいては、このアイデンティティ情報保護の重要性が増しています。 ## アイデンティティ情報の侵害状況では、アイデンティティ情報の侵害がどれくらい発生しているのか、またアイデンティティ情報が侵害されると何が起こるのかを、より実態に即してラックのサイバー救急センターへの問い合わせ状況を踏まえてご紹介します。 2023年と2024年における、サイバー救急センターへ問い合わせがあった被害状況は以下のようになっており、2024年は前年に比べて「サーバへの不正侵入」の割合が増加していることがわかります。さらにその内訳を見ていくと、「IDの不正利用」の割合が大きく増加しているのがわかります。 ![2023年よりも2024年は「サーバー侵入」が増加している](https://www.lac.co.jp/lacwatch/img/20250724_004428_01.jpg) 2023年よりも2024年は「サーバー侵入」が増加しているそれでは、IDの不正利用、つまりアイデンティティ情報はどのように悪用されるのでしょうか。その具体的な被害状況として、VPN機器に不正アクセスされ、データセンタ内の複数のサーバにマルウェアが送り込まれた結果、社内のデータが暗号化され、かつ収集・持ち出しされた事例があります。 ![アイデンティティ情報が悪用された、近年多いランサムウェア攻撃の流れ](https://www.lac.co.jp/lacwatch/img/20250724_004428_02.png) アイデンティティ情報が悪用された、近年多いランサムウェア攻撃の流れこの時悪用された保守用アカウントには、アクセス元IPや端末に関する利用制限が設けられていませんでした。また、他のサーバへの横展開はVPN機器への侵入後すぐに始まっていますが、VPN機器に設定されていたAD（Active Directory）との連携用アカウントが悪用されており、ランサムウェアの実行まで約1日の猶予があったにも関わらず、侵入を発見できませんでした。このように、アイデンティティ情報の管理漏れを悪用されたり、他社から漏れたアイデンティティ情報を利用して不正侵入されたりした事例が確認されています。 ## 攻撃者がアイデンティティ情報を狙う理由次に、攻撃者がアイデンティティ情報の窃取と悪用を狙う理由がどこにあるのかをご説明します。主な理由としては、攻撃者にとって「コストが低い」、「セキュリティ製品の検知を潜り抜けやすい」という特徴があります。まず、「コストが低い」という点について解説します。通常、攻撃者は標的組織のシステムを攻撃しようとする場合、WebサイトやVPN機器、インターネットに公開されているサーバ等の情報を収集し、脆弱性が存在していないかを調査します。そのうえで、攻撃用のプログラムを用意するなど、情報の調査とあわせて様々な準備が必要になります。加えて、実行に移したとしてもインターネット上からの攻撃を防ぐIPS等のセキュリティ製品により攻撃が検知される可能性もあります。一方、アイデンティティ情報の場合は、従業員を偽のログインページへ誘導したり、偽メール等で情報を聞き出したり、あるいはダークウェブで販売される情報を悪用するなどの方法で、脆弱性の悪用等を利用せずとも情報を窃取できます。また、多くのログインフォームにはパスワードの再設定やIDの確認のフォームもあることから、攻撃者が標的の従業員の情報を窃取したあとにパスワードの再設定を行う手段も考えられます。これらの手法は、事前に標的組織のネットワーク構成や使用しているソフトウェア等の情報を収集しなくても実行可能です。さらに、アイデンティティ情報の窃取は一般的なNGAVやEDR等のセキュリティ製品では検知されません。メールのやり取りやWebページへのアクセスは通常の端末利用の範疇だからです。また、攻撃者が窃取したアイデンティティ情報を使用した場合、VPN機器やサーバへのアクセス、従業員用の端末へのログインについても通常の認証に見えてしまうため、EDR等では攻撃として判別することができません。これが、「セキュリティ製品の検知を潜り抜けやすい」という特徴となります。 ## アイデンティティ情報の異常利用を検出する方法では、エンドポイントセキュリティ製品でアイデンティティ情報の異常な利用を検出するにはどうすればよいでしょうか。その手段の一つとして、通常のアイデンティティ情報の利用状況と比較しておかしな点がないかを洗い出す方法があります。検出基準としては以下のような要素があります。 - アクセス地域 - アクセス時間 - ログイン先の端末やアクセス先のサーバ - 認証成功までの試行回数 - 休眠（長期間使用されていない）アカウントこれらの情報について、すべての従業員のログを人の目でチェックするのは現実的ではありません。人に代わって様々な視点でログチェックを実行するのがアイデンティティ保護ソリューションとなります。アイデンティティ保護ソリューションでは正常なアイデンティティの利用を学習し、正常な利用から外れたアクティビティを見つけて警告します。また、ユーザグループ等の情報を基準に、不適切に特権が付与されているアカウントや脆弱なパスワードを設定できるようになっているなど、設定情報の監査機能が提供されているソリューションもあります。これらのソリューションではオンプレミス環境のADサーバを対象としたソリューションと、IDaaS（Identity as a Service）環境としてクラウドベースの認証基盤とセキュリティソリューションが一体として提供されているものがあり、組織の運用方針に合わせて選択することができるようになっています。 ## さいごに本記事では、なぜアイデンティティ情報の保護が必要とされているのかをご説明しました。アイデンティティ情報を盗まれてしまった場合、EDR等のエンドポイントセキュリティ製品ではなりすましによる攻撃を検出することは困難で、ふるまい学習を利用したアイデンティティ保護専門の製品が必要となります。次回は、オンプレミス環境向けの製品とクラウド環境向けの製品を比較し、それぞれのアプローチの違いについてご紹介します。この記事をシェアする - [![noteで書く](https://www.lac.co.jp/common/img/ico_share_note01.png)](https://note.com/intent/post?url=https://www.lac.co.jp/lacwatch/service/20250724_004428.html) メールマガジンサイバーセキュリティやラックに関する情報をお届けします。 [登録する](https://cp.lac.co.jp/subscription/lacmag) この記事は役に立ちましたか？ [はい](https://www.lac.co.jp/lacwatch/service/#) [いいえ](https://www.lac.co.jp/lacwatch/service/#) 関連記事よく読まれている記事 - [![ホワイトペーパー「今さら聞けない！インシデントレスポンスの基本」を公開しました](https://www.lac.co.jp/lacwatch/assets_c/2025/06/thumb_lacwatch_004416-thumb-400xauto-18073.jpg) 2025年6月30日　|　サービス・製品ホワイトペーパー「今さら聞けない！インシデントレスポンスの基本」を公開しました ](https://www.lac.co.jp/lacwatch/service/20250630_004416.html) - [![インシデント対応の舞台裏シリーズ：ビジネスメール詐欺編](https://www.lac.co.jp/lacwatch/assets_c/2025/06/thumb_lacwatch_004421-thumb-400xauto-18081.jpg) 2025年7月 3日　|　サービス・製品インシデント対応の舞台裏シリーズ：ビジネスメール詐欺編 ](https://www.lac.co.jp/lacwatch/service/20250703_004421.html) - [![ランサムウェア対策におけるWindows・AD要塞化分析サービスの活用](https://www.lac.co.jp/lacwatch/assets_c/2025/07/thumb_lacwatch_004425-thumb-400xauto-18088.jpg) 2025年7月15日　|　サービス・製品ランサムウェア対策におけるWindows・AD要塞化分析サービスの活用 ](https://www.lac.co.jp/lacwatch/service/20250715_004425.html) タグ - [アーキテクト](https://www.lac.co.jp/lacwatch/architect/) - [アジャイル開発](https://www.lac.co.jp/lacwatch/agile/) - [アプリ開発](https://www.lac.co.jp/lacwatch/app_development/) - [インシデントレスポンス](https://www.lac.co.jp/lacwatch/incident_response/) - [イベントレポート](https://www.lac.co.jp/lacwatch/event_report/) - [カスタマーストーリー](https://www.lac.co.jp/lacwatch/customer_story/) - [カルチャー](https://www.lac.co.jp/lacwatch/culture/) - [官民学・業界連携](https://www.lac.co.jp/lacwatch/cooperation/) - [企業市民活動](https://www.lac.co.jp/lacwatch/citizenship/) - [クラウド](https://www.lac.co.jp/lacwatch/cloud/) - [クラウドインテグレーション](https://www.lac.co.jp/lacwatch/cloud_integration/) - [クラブ活動](https://www.lac.co.jp/lacwatch/club/) - [コーポレート](https://www.lac.co.jp/lacwatch/corporate/) - [広報・マーケティング](https://www.lac.co.jp/lacwatch/marketing/) - [攻撃者グループ](https://www.lac.co.jp/lacwatch/attack_group/) - [もっと見る +](https://www.lac.co.jp/lacwatch/service/#) - [子育て、生活](https://www.lac.co.jp/lacwatch/life/) - [サイバー救急センター](https://www.lac.co.jp/lacwatch/cyber119/) - [サイバー救急センターレポート](https://www.lac.co.jp/lacwatch/cyber119_report/) - [サイバー攻撃](https://www.lac.co.jp/lacwatch/cyberattack/) - [サイバー犯罪](https://www.lac.co.jp/lacwatch/cybercrime/) - [サイバー・グリッド・ジャパン](https://www.lac.co.jp/lacwatch/cyber_grid_japan/) - [サプライチェーンリスク](https://www.lac.co.jp/lacwatch/supply_chain_risk/) - [システム開発](https://www.lac.co.jp/lacwatch/system/) - [趣味](https://www.lac.co.jp/lacwatch/hobby/) - [障がい者採用](https://www.lac.co.jp/lacwatch/challenge/) - [初心者向け](https://www.lac.co.jp/lacwatch/beginner/) - [白浜シンポジウム](https://www.lac.co.jp/lacwatch/shirahama/) - [情シス向け](https://www.lac.co.jp/lacwatch/informationsystem/) - [情報モラル](https://www.lac.co.jp/lacwatch/moral/) - [情報漏えい対策](https://www.lac.co.jp/lacwatch/information_leak_prevention/) - [人材開発・教育](https://www.lac.co.jp/lacwatch/education/) - [診断30周年](https://www.lac.co.jp/lacwatch/security_diagnosis_30th/) - [スレットインテリジェンス](https://www.lac.co.jp/lacwatch/threat_intelligence/) - [すごうで](https://www.lac.co.jp/lacwatch/sugoude/) - [セキュリティ](https://www.lac.co.jp/lacwatch/security/) - [セキュリティ診断](https://www.lac.co.jp/lacwatch/security_diagnosis/) - [セキュリティ診断レポート](https://www.lac.co.jp/lacwatch/security_diagnostic_report/) - [脆弱性](https://www.lac.co.jp/lacwatch/vulnerability/) - [脆弱性管理](https://www.lac.co.jp/lacwatch/vulnerability_management/) - [ゼロトラスト](https://www.lac.co.jp/lacwatch/zerotrust/) - [対談](https://www.lac.co.jp/lacwatch/talk/) - [テレワーク](https://www.lac.co.jp/lacwatch/telework/) - [データベース](https://www.lac.co.jp/lacwatch/database/) - [デジタルアイデンティティ](https://www.lac.co.jp/lacwatch/digital_identity/) - [働き方改革](https://www.lac.co.jp/lacwatch/workstyle/) - [標的型攻撃](https://www.lac.co.jp/lacwatch/targeted_attack/) - [プラス・セキュリティ人材](https://www.lac.co.jp/lacwatch/plus_security/) - [モバイルアプリ](https://www.lac.co.jp/lacwatch/mobileapp/) - [ライター紹介](https://www.lac.co.jp/lacwatch/writer/) - [ラックセキュリティアカデミー](https://www.lac.co.jp/lacwatch/academy/) - [ランサムウェア](https://www.lac.co.jp/lacwatch/ransomware/) - [リモートデスクトップ](https://www.lac.co.jp/lacwatch/remote_desktop/) - [1on1](https://www.lac.co.jp/lacwatch/1on1/) - [AI](https://www.lac.co.jp/lacwatch/ai/) - [ASM](https://www.lac.co.jp/lacwatch/asm/) - [CIS Controls](https://www.lac.co.jp/lacwatch/cis_controls/) - [CODE BLUE](https://www.lac.co.jp/lacwatch/code_blue/) - [CTF](https://www.lac.co.jp/lacwatch/ctf/) - [CYBER GRID JOURNAL](https://www.lac.co.jp/lacwatch/cyber_grid_journal/) - [CYBER GRID VIEW](https://www.lac.co.jp/lacwatch/cyber_grid_view/) - [DevSecOps](https://www.lac.co.jp/lacwatch/devsecops/) - [DX](https://www.lac.co.jp/lacwatch/dx/) - [EC](https://www.lac.co.jp/lacwatch/ec/) - [EDR](https://www.lac.co.jp/lacwatch/edr/) - [FalconNest](https://www.lac.co.jp/lacwatch/falconnest/) - [IoT](https://www.lac.co.jp/lacwatch/iot/) - [IR](https://www.lac.co.jp/lacwatch/ir/) - [JSOC](https://www.lac.co.jp/lacwatch/jsoc/) - [JSOC INSIGHT](https://www.lac.co.jp/lacwatch/jsoc_insight/) - [LAC Security Insight](https://www.lac.co.jp/lacwatch/lsi/) - [OWASP](https://www.lac.co.jp/lacwatch/owasp/) - [SASE](https://www.lac.co.jp/lacwatch/sase/) - [Tech Crawling](https://www.lac.co.jp/lacwatch/tech_crawling/) - [XDR](https://www.lac.co.jp/lacwatch/xdr/) ![](https://acq-3pas.admatrix.jp/if/5/01/bf4b8990e5cfcb70d3ed0d66e5fd1948.fs?cb=7702331&rf=https%3A%2F%2Fwww.lac.co.jp%2Flacwatch%2Fservice%2F20250724_004428.html&prf=&i=E10z0MnH)