組織のサービスデスクは、パスワードのリセット、IT問題の解決、エンドユーザーに必要なソフトウェアのセットアップなど、重要な役割を担っています。 また、パスワードリセットのゲートキーパーとして、サイバー攻撃の格好の標的でもあります。脅威の主体は、ソーシャル・エンジニアリング戦術を使用して人間の脆弱性を悪用し、サービスデスクのスタッフを操作して不正アクセスを提供させます。
真摯な注意と保護対策がなければ、サービスデスクは知らず知らずのうちに組織のサイバーセキュリティフレームワークの弱点になりかねません。しかし、ありがたいことに、サービスデスクのエージェントを安全に保つのに役立つ戦略があります。最近のサービスデスク攻撃から何が学べるかを見て、組織が従うべきベストプラクティスを探ってみましょう。
サービスデスクの悪用
ソーシャル・エンジニアリング攻撃はますます一般的になってきており、サービスデスクは好まれるターゲットです。Statistiaによると、IT部門の71%が2022年にヴィッシング(音声なりすまし)ソーシャルエンジニアリング攻撃の標的になったと回答しており、これは2020年の攻撃数より17%増加しています。また、ソーシャル・エンジニアリング攻撃が現実に与える影響は甚大である。
EAゲームズのハッキング
2021年に発生したEA Gamesのハッキングは、脅威行為者が組織のサービスデスクにもたらす現実的なリスクの典型例である。脅威行為者はEAの内部Slackチャンネルにアクセスし、ITサポート担当者に「パーティーで携帯電話を紛失した」とメッセージを送り、アクセスするための多要素認証トークンを要求しました。
一旦内部に侵入すると、ゲーム、ゲームエンジン、社内ゲーム開発ツールからソースコード・データを盗み出し、多数のアンダーグラウンド・サイトで販売するという大混乱を引き起こした。
ハッカーたちは、FIFA 2021のソースコードを含む750GBのデータを持ち逃げした。
MGMリゾーツのハッキング
サービスデスクがソーシャル・エンジニアリング攻撃の犠牲になった企業はEA Gamesだけではない。
2023年、ハッキング集団がLinkedInでMGMリゾーツの従業員の名前を見つけ、MGMのITサポートデスクに電話をかけて認証情報を入手し、システムにアクセスした。
その結果、ホテルとエンターテインメントの巨人は、ラスベガスの数多くの施設で広範囲に及ぶ機能停止に見舞われ、ホテルのルームキーや内部ネットワークからデジタルスロットマシンや電子決済システムまで、あらゆるものに影響が及んだ。
その数週間後、ニュースはさらに悪化した。同社のカジノとホテルは再び「通常通り営業」しているが、同社はハッカーが顧客データベースにも侵入し、氏名、住所、生年月日、(場合によっては)運転免許証、社会保障番号、パスポート番号などの個人情報にアクセスしたと発表した。
MGM社によると、この攻撃により同社は約1億ドルの売上損失を被った。さらに、この攻撃による被害を軽減・抑制するために、技術コンサルタント、弁護士費用、その他の第三者アドバイザーに1,000万ドルを費やしたという。
サービスデスクを安全に保つためのベストプラクティス
EA Games や MGM Resorts が身をもって知っているように、サービスデスクのスタッフにサイバーセキュリティのベストプラクティスを徹底させることが不可欠です。以下のヒントに従って、サービスデスクのセキュリティと安全性を高めてください:
定期的かつ継続的なサイバーセキュリティ・トレーニングの実施
脅威の主体は、組織のシステムやアプリケーションに不正アクセスする新しい方法を常に探しています。サービスデスクの担当者が、最新のソーシャルエンジニアリングスキーム、フィッシング攻撃、および他のタイプの脅威的行為に関する定期的かつ継続的なトレーニングを受けるようにします。
サービスデスクの技術者に最新の知識を提供することで、効果的に組織を保護することができます。
しかし、ソーシャルエンジニアリングを防ぐための全責任をサービスデスクのスタッフに負わせるのは危険です(そして不公平です)。
パスワードリセット手順の自動化
パスワードリセットプロセスは、ハッカーに魅力的な悪用方法を提供します。重要な期限や緊急事態でパニックに陥っている従業員を装って、サービスデスクの技術者にパスワードリセットを実行するよう説得し、最終的に組織のシステム、アプリケーション、またはネットワークへのアクセスを与えようとします。
パスワードリセットプロセスをサービスデスクの手から離し、完全に自動化することで、このシナリオ全体を回避することができます。Specops uResetのようなパスワードリセットソフトウェアに投資することで、エンドユーザはVPNアクセスを必要とせずに、独自に(そして安全に)パスワードをリセットし、ローカルにキャッシュされた認証情報を更新することができます。
これにより、サービスデスクの負担が軽減されるだけでなく、パスワードリセットのソーシャルエンジニアリングシナリオからの保護にも大きく貢献します。
エンドユーザー検証の強化
サービスデスクは常にハッカーにとって非常に魅力的なターゲットです。防御を強化する最善の方法の1つは、サービスデスクの担当者が電話をかけてきた人物が本人であることを安全に確認できるソリューションを導入することです。
たとえば、Specops Secure Service Deskのようなソリューションを使用すると、サービスデスクの担当者は、ユーザーアカウントに関連付けられた携帯電話番号にワンタイムパスワードを送信するなど、さまざまな方法を使用して電話の発信者が本人であることを確認できます。
このセキュリティの追加レイヤーは、洗練されたソーシャルエンジニアリングの被害からサービスデスクを保護するのに役立ち、信頼性が低くエラーが発生しやすい紙ベースの方法から脱却できます。
SpecopsのSecure Service Deskは、モバイルまたは電子メール認証コード、Duo Security、Okta、PingIDなどの信頼できるプロバイダとの統合など、さまざまな本人確認方法を提供します。
サービスデスクにおけるソーシャルエンジニアリング攻撃の可能性を軽減し、パスワードのリセットやアカウントのロック解除の前にユーザが確認されるようにします。セキュアサービスデスクがお客様の組織にどのように適合するか、専門家にご相談ください。
Specops Software がスポンサーとなり、執筆しました。
Comments