ランサムウェアの被害に遭った時に必要なパスワードリセットのポイント

画像提供：マイナビニュース

Microsoftはこのほど、「Microsoft Incident Response tips for managing a mass password reset｜Microsoft Security Blog」において、企業がランサムウェアの被害に遭った場合に必要となる大量のパスワードリセットの管理プロセスとテクノロジーについて概要を解説した。詳細な管理プロセスと効果的な戦略については「Effective strategies for conducting Mass Password Resets during cybersecurity incidents」にて解説している。

○パスワードに対するサイバー攻撃の急増

最新のMicrosoft Digital Defense Reportによると、2023年はパスワードに関連したサイバー攻撃が前年比で10倍に急増。MicrosoftはMicrosoft Entraを通じて毎秒4,000件の攻撃をブロックしたという。このような状況にもかかわらず、一部の企業は多要素認証(MFA: Multi-Factor Authentication)を導入せず、サイバー攻撃に脆弱なままシステムを運用していると報告されている。

そのような企業がサイバー攻撃の被害に遭うと顧客の認証情報を漏洩する可能性が高く、漏洩した場合は不正アクセス防止のために速やかにパスワードリセットを実施することが求められる。
○大量のパスワードリセットの管理

Microsoftは大量のパスワードリセットが発生した場合、次のことを考慮して行動を決定する必要があると説明している。

サイバー攻撃とダウンタイムによるビジネスへの影響
ユーザーへの影響
管理運用担当者およびユーザーサポートの負担

これらを考慮した上で企業が採用できる行動は基本的に次の2通りだとして、その概要を解説している。

○ユーザー主導のリセット

次回ログイン時にパスワードの変更をユーザーに強制する。Microsoft Entra IDのようなシステムでは条件付きアクセス機能などにより、リセットプロセス中の不正アクセスを防止しながらパスワードの変更をユーザーに強制することができる。
○管理者主導のリセット

緊急の対策が求められる場合は管理者主導のリセットを実施する。この手法を用いるとアクセス中のユーザー操作が中断される可能性がある。前もって代替認証方法を設定してるユーザーには、その仕組みを通じてパスワードを再設定してもらう。そのような代替方式がないシステムや設定をしていないユーザーには、サポートまたは何かしらの仕組みを通じてパスワードを再設定してもらう必要があり、迅速な復旧は望めない。
○管理者アカウントのパスワードリセット