- share :
長らくセキュリティ対策の基本とされてきた「定期的なパスワード変更」。誰もが知っている当たり前の対策ですが、現代のサイバー攻撃手法においては、かえってリスクを高めるという異例の警告が米国連邦捜査局(FBI)から発せられました。この警告は、パスワード管理の常識を覆すと同時に、中小企業が直面しているサイバーセキュリティの脅威が、いかに巧妙化しているかを示唆しています。
本記事では、この警告の背景を解説したうえで、中小企業の経営者やDX推進担当者が、今すぐ取り組むべき新たなセキュリティ対策について考察します。
【本記事の要点】
- NISTガイドラインにおける定期的なパスワード変更要求の廃止とその論理的根拠
- ScatteredSpider等の攻撃集団による巧妙なソーシャルエンジニアリングの脅威
- 第三者からの指示によるパスワードリセットが内包するセキュリティ上のリスク
- 中小企業に求められる本人確認の厳格化および社内規定の再整備
FBIが警告する「安易なパスワードリセット」に潜む経営リスクの正体
長年、ITセキュリティの常識として「パスワードは定期的に変更すべき」という考え方が浸透していました。しかし、この常識はインターネットの進化とともに徐々に変化し、近年ではその有効性に疑問が呈されるようになりました。そして今、新たなサイバー攻撃の手法が、この常識を完全に覆す事態を招いています。(参考:Welcome to the Internet Crime Complaint Center/FBI公式サイト)
「定期的な変更」はもう古い?NISTが推奨する最新のパスワード管理基準
パスワードポリシーに関する考え方は、時代とともに変化を遂げています。サイバーセキュリティの国際的な指針を定める機関として知られている米国国立標準技術研究所(NIST)は、2017年6月に公開した電子認証に関するガイドラインのなかで、パスワードの定期的な変更をユーザーに要求すべきではないという方針を打ち出しました。
背景にあるのは、定期的な変更を求めることが、ユーザーが安易なパスワードを設定したり、複数のアカウントでパスワードを使い回したりする原因となり、かえってセキュリティリスクを高めるという逆転の論理です。
こうした指針は、その後の改訂草案においてさらに強化され、最新のドラフトでは「定期的な変更をユーザーに要求してはならない(SHALL NOT)」という、より強い表現が提案されています(NIST SP 800‑63B 2017年版では「求めるべきではない(SHOULD NOT)」という表現でした)。具体的な発効時期は、最新のNIST SP 800‑63シリーズの版やドラフトを確認する必要があります。(参考:Digital Identity Guidelines/NIST Special Publication 800-63B公式サイト)
情報漏洩が確認されていない限りは、強力なパスワードを使い続ける方がリスクが少ないという判断に至ったためです。
なぜ二段階認証(MFA)だけでは不十分なのか?巧妙化する「回避の手口」
現在では、パスワードの脆弱性を補うための有力な手段として、多要素認証(MFA)が広く導入されています。しかし、MFAの壁を回避する手口は巧妙化しており、MFAを導入したとしてもセキュリティ対策は万全ではありません。
近年、主要なセキュリティ機関やベンダーの分析により、多要素認証(MFA)の有効性を逆手に取った攻撃の増加が繰り返し報告されています。特に、認証プロセスの脆弱性を突く「MFAバイパス」の手法が高度化・組織化されており、従来の「二段階認証」のみに依存するリスクが改めて浮き彫りとなっています。(参考:M-Trends 2023: Cybersecurity Insights From the Frontlines)
攻撃者は、従業員になりすましてIT部門やヘルプデスクに連絡を取り、パスワードリセットやMFA認証トークンの転送を依頼するといった、いわゆる「ソーシャルエンジニアリング」の手法を駆使します。こうした攻撃により、MFAの壁を突破される事例が後を絶たないのが現状です。
攻撃集団「Scattered Spider」が突くヘルプデスクの心理的盲点
この種の攻撃を特に得意とするのが、ランサムウェア攻撃者集団である「Scattered Spider(散らばった蜘蛛)」です。彼らは、小売、保険、航空業界などの大企業を標的とし、甚大な被害をもたらしています。
Scattered Spiderの攻撃手口は、非常に洗練されています。彼らは、複数回の電話や連絡を組み合わせた「多層的ソーシャルエンジニアリング」を用いて、標的企業のIT部門やヘルプデスクの担当者を騙すのです。従業員を装ってパスワードリセットの手順をサポート担当者から聞き出し、最終的にはヘルプデスクに直接電話をかける「ヴィッシング(音声によるフィッシング)」を実行します。この際、パスワードをリセットするよう誘導し、さらにMFAトークンを攻撃者が制御するデバイスへ転送させるよう巧みに仕向けます。電話による口頭での依頼は、メールやチャットよりも信用されやすいため、担当者が騙されてしまうケースが少なくありません。
FBI警告の真意:善意の「リセット対応」が情報漏洩の入り口になる理由
このような背景のもと、FBIと米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2023年に公表したScattered Spiderに関する共同サイバーセキュリティ勧告(AA23‑320A)を2025年7月29日に更新し、ヘルプデスクやIT部門に対し「頻繁な(定期的な)パスワード変更を要求しないこと」や「攻撃者からの誘導によるパスワードリセットに応じないこと」などを推奨しました。
この勧告更新は、Scattered Spiderが用いるヘルプデスク狙いのソーシャルエンジニアリング手口への対抗を主な目的の一つとしており、特に「第三者からの依頼に基づく安易なパスワードリセット」や「MFAトークンの移管」によるアカウント乗っ取りを防ぐことを狙っています。
この警告が意味するのは、「パスワード変更」という行為そのものが悪いわけではなく、「第三者からの指示によるパスワードリセット」が、アカウント乗っ取りの入り口となり得るということです。特に、電話による口頭での依頼は、担当者が身元確認を十分に行わないまま対応してしまいがちであり、攻撃者に新たな突破口を与えるリスクをはらんでいます。
FBI/CISAの今回の注意喚起は、「パスワード変更」そのものを否定するものではなく、特にヘルプデスクなどが第三者からの依頼に基づき安易にパスワードリセットやMFAトークン移管を行う運用が、Scattered Spiderのような攻撃グループに悪用されている事実に光を当てたものです。技術的な対策だけでなく、パスワード更新フローや本人確認プロセスそのものが攻撃対象になるという視点を持つ必要があります。
執筆者
株式会社MU 代表取締役社長
山田 元樹
社名である「MU」の由来は、「Minority(少数)」+「United(団結)」という意味。企業のDX推進・支援を過去のエンジニア経験を活かし、エンジニア + 経営視点で行う。DX推進の観点も含め上場企業をはじめ多数実績を持つ。