業種や企業規模を問わず、多くの企業で導入が進んでいるクラウドサービス。端末を問わずどこからでもデータにアクセスできること、運用コストが抑えられるといったメリットから、クラウドサービスは今や業務改革には必須の存在と言えます。
しかしその反面、アカウント乗っ取りや情報漏洩などのセキュリティリスクと隣り合わせでもあります。今回は、クラウドサービスのアカウント乗っ取りの手口とその対策についてご紹介します。

企業におけるクラウドサービスの利用状況

総務省が発表した「平成30年通信利用動向調査」によると、企業におけるクラウドサービスの利用状況は、「全社的に利用している」（32.9％）、「一部の事業所又は部門で利用している」（25.4％）と、クラウドサービスを利用している企業の割合は合計58.3％を占めました。

具体的に利用しているサービスは、「ファイル保管・データ共有」（52.8％）が最も高く、次いで「電子メール」（52.0％）、「サーバー利用」（50.7％）、「社内情報共有・ポータル」（40.3％）となっており、幅広い用途で活用されていることが分かります。

一方で、「情報漏洩などセキュリティに不安がある」ことを理由にクラウドサービスを導入していない企業は30.1％に上りました。

アカウント乗っ取りの手口

このように、セキュリティ面の不安からクラウドサービスの導入をためらう企業が一定数存在することが分かります。Check Point社の調査によると、SaaSアプリケーション侵害の90％は外部からの攻撃によるものであり、そのうち50％は攻撃者によるSaaSアカウントの乗っ取りが原因と報告されています。

それでは、どのようにしてSaaSアプリケーション経由で攻撃が行われるのでしょうか。代表的な手法として、アカウントの乗っ取りをビジネスメール詐欺に発展させる手口が挙げられます。

1. パスワードリスト攻撃やフィッシングなどの手口で、標的組織の従業員のメールアカウントを乗っ取る。
2. 攻撃者が、窃取したアカウント情報でログインし、ユーザーのメール、スケジュール、連絡先、その他クラウド上に保管されているデータにアクセス出来る状態になる。
3. メールアカウントに登録されている取引先や組織内の経理担当者に対して、金銭を振り込ませる依頼メールを送信する。

このような手口では攻撃者が正規のメールアカウントを用いるため、受信者側ではメールアドレスからなりすましを判断することは非常に困難です。

米国連邦捜査局FBIの調査によると、2018年のビジネスメール詐欺の被害件数は約2万件、被害額は約12億ドル、すなわち日本円でおよそ1,300億円に上っています。

対策

それでは、クラウドサービスのアカウント乗っ取りを防止するためには、どのような対策を取ればいいのでしょうか。

パスワードポリシーの強化

他人に類推されやすく、機械的な処理で割り出しやすいパスワードは禁止するなど、強固なパスワードポリシーを設定しましょう。

データの重要度に応じてアクセス制御を設ける

クラウド上に保存する各データの重要度を定義し、アクセスするユーザがどのデータに対してどのような操作を行えるかを設定しましょう。

多要素認証を行う

ワンタイムパスワード認証やクライアント認証等を利用し、ユーザー認証を強化しましょう。ただし、SMS認証については、アメリカでSMSの割り込みによる攻撃が確認されているため注意が必要です。

通信データを暗号化する

クラウドサービスはインターネットを介して利用するため、第三者によって通信を傍受される危険性があります。SSL通信は基本的に必須で、Wi-Fiを利用する場合も、WPA2など高度な暗号化の仕組みを利用するようにしましょう。

CheckPoint CloudGuard SaaSは、振る舞い分析とID-Guard 技術により、あらゆるSaaSアプリケーションのアカウント乗っ取りを防止します。また、許可されていないユーザやデバイスをブロックするため、攻撃者が正しい資格情報を有していても疑わしいログインを阻止することが可能です。

CloudGuard SaaSについての詳細はこちらから

引用元（外部サイト）

平成30年通信利用動向調査 | 総務省
新たな脅威「ビジネスメール詐欺（BEC）」とは？ ｜ ITmedia
クラウドサービスのセキュリティ対策、押さえておくべき5つのポイントとは？ ｜ サイバーセキュリティ.com
中小企業のための クラウドサービス 安全利用の手引き ｜ 情報処理推進機構（IPA）