Microsoftはこのほど、「Microsoft Incident Response tips for managing a mass password reset|Microsoft Security Blog」において、企業がランサムウェアの被害に遭った場合に必要となる大量のパスワードリセットの管理プロセスとテクノロジーについて概要を解説した。詳細な管理プロセスと効果的な戦略については「Effective strategies for conducting Mass Password Resets during cybersecurity incidents」にて解説している。

  • Microsoft Incident Response tips for managing a mass password reset|Microsoft Security Blog

    Microsoft Incident Response tips for managing a mass password reset|Microsoft Security Blog

パスワードに対するサイバー攻撃の急増

最新のMicrosoft Digital Defense Reportによると、2023年はパスワードに関連したサイバー攻撃が前年比で10倍に急増。MicrosoftはMicrosoft Entraを通じて毎秒4,000件の攻撃をブロックしたという。このような状況にもかかわらず、一部の企業は多要素認証(MFA: Multi-Factor Authentication)を導入せず、サイバー攻撃に脆弱なままシステムを運用していると報告されている。

そのような企業がサイバー攻撃の被害に遭うと顧客の認証情報を漏洩する可能性が高く、漏洩した場合は不正アクセス防止のために速やかにパスワードリセットを実施することが求められる。

大量のパスワードリセットの管理

Microsoftは大量のパスワードリセットが発生した場合、次のことを考慮して行動を決定する必要があると説明している。

  • サイバー攻撃とダウンタイムによるビジネスへの影響
  • ユーザーへの影響
  • 管理運用担当者およびユーザーサポートの負担

これらを考慮した上で企業が採用できる行動は基本的に次の2通りだとして、その概要を解説している。

ユーザー主導のリセット

次回ログイン時にパスワードの変更をユーザーに強制する。Microsoft Entra IDのようなシステムでは条件付きアクセス機能などにより、リセットプロセス中の不正アクセスを防止しながらパスワードの変更をユーザーに強制することができる。

管理者主導のリセット

緊急の対策が求められる場合は管理者主導のリセットを実施する。この手法を用いるとアクセス中のユーザー操作が中断される可能性がある。前もって代替認証方法を設定してるユーザーには、その仕組みを通じてパスワードを再設定してもらう。そのような代替方式がないシステムや設定をしていないユーザーには、サポートまたは何かしらの仕組みを通じてパスワードを再設定してもらう必要があり、迅速な復旧は望めない。

管理者アカウントのパスワードリセット

パスワードリセットが必要な状況下では、管理者アカウントの認証情報もリセットする必要がある。このとき管理者アカウントへの影響を軽減するため、Microsoftは緊急アクセスアカウントにパスキーやフィッシング耐性のある多要素認証を導入し、さらに緊急時のみ使用できるように構成することを推奨している。

これからのパスワード管理

Microsoftはパスワードを必要とする認証方式に対し、Microsoft Authenticatorなどフィッシング耐性のある多要素認証の導入を推奨している。フィッシング耐性のある多要素認証はアカウントの不正アクセスを99%防止できるとされ、基本的なセキュリティ対策と位置付けられている。

また、これから認証システムを構築する、または更新する予定の企業に対しては、パスワードを必要としないWindows Hello for Businessまたはパスキー(FIDO2パスキー)の採用を推奨している。パスキーはサーバ側の認証情報を漏洩しても不正アクセスを防止できるため、インシデント発生時に緊急のパスワードリセットを必要としない。また、ユーザー側の認証情報はデバイスから取り出せないことからサイバー攻撃に堅牢と評価されている。

増え続けるサイバー攻撃から企業システムおよび顧客を保護するには、その入口となる認証情報を保護することが重要。攻撃者はありとあらゆる手段を講じて認証を突破しようと試みる。そのため、企業や組織には可能な限りの対策を実施することが望まれている。