昨年3000万人を超えるクーパン会員の個人情報が流出した事故は、アイデンティティ(身元・アクセス管理)セキュリティの失敗を示す代表例とされる。犯人と指摘されたクーパンの元社員は在職中に奪取した認証キーを用いて内部システムにアクセスしたが、退職者に付与された権限が回収されていなかったため、大量の顧客情報が外部に流出したということだ。
このように内部者のアカウント情報や資格情報を奪取すれば、ハッカーは企業の防御壁を無理に突破しなくても、ログインだけでマルウェアを仕込み、機微な情報にアクセスできる。したがってアイデンティティセキュリティはサイバーセキュリティの第一関門とみなされる。銀行員に成り済ました泥棒が入館証を手に入れて正面玄関から入り、金庫を開けるのと似ている。
13日セキュリティ業界によると、世界的にアイデンティティ基盤のサイバー攻撃が猛威を振るい、企業が関連投資を拡大している。シスコの脅威インテリジェンス組織「Talos」によれば、2024年に発生したサイバー攻撃のうちアイデンティティ基盤の攻撃が60%に達した。
Talosは「大多数のセキュリティ事故はゼロデイ脆弱性やカスタムマルウェアを用いた複雑な攻撃によって発生したわけではない」とし、「ハッカーはアカウントを奪取して単純にログインする方式で企業システムに侵入し、深刻な被害をもたらした」と説明した。
企業がいくらネットワークやエンドポイントの防御を強化しても、奪取したアカウントが1つあればシステムに侵入できるため、資格情報を含むアイデンティティの奪取はサイバー犯罪者が好む攻撃手法として脚光を浴びている。ハッカーは多様な方法でアイデンティティを奪取しており、フィッシングやスミッシングで資格情報やアカウント情報を抜き取る方法が代表的だ。
最近では、ダークウェブなどで入手したIDとパスワードを複数サイトに無差別投入してログインを試みる「クレデンシャルスタッフィング(Credential Stuffing)」も横行している。先月はCJ ENMが運営するオンライン動画配信サービス(OTT)であるTVINGで流出したアカウント情報を用いたクレデンシャルスタッフィング攻撃の試行が検知され、GSリテールも昨年クレデンシャルスタッフィング攻撃を受け、顧客9万人の個人情報が流出した。インスタグラムでも今月1700万人分のID・パスワードが流出したとの疑惑が浮上しており、セキュリティ業界では関連情報が今後クレデンシャルスタッフィングに悪用され得るとの懸念を示している。
セキュリティ専門家は、クレデンシャルスタッフィングのようなアイデンティティ基盤の攻撃がAIの登場で速度と精度を増しており、企業はこれに対応する防御体制を整えるべきだと助言する。過去は企業が役職員と外部委託人員のアカウントと資格情報だけを管理すればよかったが、AI時代にはAIエージェントやマシンアイデンティティといった非人間アカウントも幅広く活用されているため、誰がいつどのデータにアクセス可能かを識別し、権限を管理する技術が必要になったためだ。
グローバル大手のセキュリティ企業も、アイデンティティセキュリティを次世代セキュリティソリューションの中核に据え、能力強化に乗り出している。米サイバーセキュリティ企業クラウドストライクは今月8日、アイデンティティセキュリティのスタートアップSGNLを約7億4000万ドル(約1兆ウォン)で買収すると発表した。グーグル出身者が設立したSGNLは、リアルタイムで人工知能(AI)エージェントにシステムアクセス権限を付与・回収するアイデンティティセキュリティ技術を保有している。
ジョージ・カーツクラウドストライク最高経営責任者(CEO)は「今回の買収はアイデンティティセキュリティ市場におけるクラウドストライクの地位強化に寄与する」と述べた。市場調査会社グランドビューリサーチによれば、アイデンティティセキュリティ市場規模は2022年時点の159億3000万ドル(約23兆5000億ウォン)から2030年には415億2000万ドル(約61兆2000億ウォン)に達する見通しだ。
世界最大のセキュリティ企業であるパロアルトネットワークスも昨年7月、イスラエル拠点のアイデンティティセキュリティ企業サイバーアークを買収し、アイデンティティセキュリティ分野へ事業を拡大した。当時の買収額は250億ドル(約34兆5000億ウォン)で、パロアルトがこれまで進めた合併・買収(M&A)の中で最大規模だ。アイデンティティセキュリティの重要性を認識し、大規模投資に踏み切ったと分析される。
アイデンティティ・アクセス管理(IAM)のセキュリティ企業オクタも昨年、クラウドに特化した特権アクセス管理(PAM)スタートアップであるアクシオムセキュリティを買収し、セキュリティポートフォリオの強化に乗り出した。トッド・マッキノンオクタCEOは「AI時代のセキュリティの核心はアイデンティティ保護だ」とし、「企業が防御を強化するにはAIエージェントのアイデンティティを体系的に保護すべきだ」と述べた。