経営者の決断が鍵|中小企業が明日から実践すべき「心理的防壁」を築く3つの具体策
Scattered Spiderのような巧妙な攻撃手法は、大企業だけでなく、セキュリティ体制が脆弱になりがちな中小企業にとっても大きな脅威となります。経営者やDX推進担当者は、この新しい脅威を認識し、適切な対策を講じなければなりません。
1:認証運用の抜本改革|「定期変更」を廃止し、物理キーや認証アプリへ移行する
まず、パスワードとMFAの運用方法を見直すことが不可欠です。NISTは、ユーザーに定期的なパスワード変更を強いると、覚えやすさを優先した弱いパスワードや、パターン化した変更が増え、かえって攻撃者に推測されやすくなると指摘しています。そのため「侵害の兆候がある場合にのみパスワードを変更し、そうでなければ長く強力なパスワードを継続利用させる」ことが推奨されています。
また、MFAの導入は引き続き重要ですが、その運用方法にも注意が必要です。SMSや電話による認証は、SIMスワップ攻撃やヴィッシングのリスクがあるため、より強固な方式、例えば、専用の認証アプリや物理的なセキュリティキーの使用を検討するべきでしょう。
2:現場の防衛力強化|「電話一本」を信じない、多層的な本人確認フローの徹底
Scattered Spiderの攻撃は、技術的な脆弱性だけでなく、人間の心理的な隙を突くものです。そのため、IT担当者やヘルプデスクのスタッフに対するセキュリティ教育が、これまで以上に重要となります。具体的には、以下のような対策が考えられます。
- 本人確認の厳格化:パスワードリセットや機密情報に関する問い合わせがあった場合、必ず定められた手順で本人確認を行うことを徹底し、電話での依頼のみで安易に対応しないよう、マニュアルを整備する
- 多層的な認証プロセスの導入:パスワードリセットの依頼があった場合、電話での依頼だけでなく、登録済みのメールアドレスや別の連絡手段を用いて、本人に再度確認を取るなどのプロセスを組み込む
- 疑わしい連絡の報告体制の構築:従業員が不審な電話やメール、SMSを受け取った際に、速やかに報告できる体制を構築する。これにより、攻撃の兆候を早期に発見できる可能性が高まる
3:連絡経路の正規化|重要依頼は「指定ツールのみ」で受け付けるルール作り
攻撃者が従業員になりすます手口に対抗するためには、社内でのコミュニケーションのルールを明確に定めることも有効です。例えば、パスワードリセットや重要なシステムへのアクセス要求は、特定の社内ツールやシステムを通じてのみ行い、電話や個人のチャットツールでは受け付けない、といったルールを設けることが考えられます。これにより、攻撃者が電話で偽の指示を出しても、従業員や担当者がルールに基づいて対応を拒否することができます。
まとめ:パスワード管理の常識を捨て、企業の継続的な競争力を守り抜く
FBIによる「パスワードをリセットするな」という警告は、サイバー攻撃が従来の技術的な防御をすり抜け、人間の心理を巧みに操る段階へと進化したことを示しています。中小企業にとっては、最新の脅威トレンドを把握し、自社のセキュリティ対策を見直す絶好の機会です。
今回の記事で解説したように、単純な「定期的なパスワード変更」はもはや万能ではありません。パスワードの強度を保ちつつ、多要素認証を適切に運用する。そして何よりも、社員や担当者に対するセキュリティ教育と、厳格な業務プロセスの構築が、企業のデジタル資産を守る上で不可欠となります。貴社がDXを推進する上で、このようなセキュリティリスクを事前に把握し、対策を講じることが、事業継続の重要な鍵を握るのです。
執筆者
株式会社MU 代表取締役社長
山田 元樹
社名である「MU」の由来は、「Minority(少数)」+「United(団結)」という意味。企業のDX推進・支援を過去のエンジニア経験を活かし、エンジニア + 経営視点で行う。DX推進の観点も含め上場企業をはじめ多数実績を持つ。