1Passwordがフィッシング対策を強化
デジタル金庫およびパスワードマネージャーの1Passwordは、フィッシングURLに対する組み込み保護機能を追加しました。これにより、ユーザーが悪意のあるページを識別し、脅威アクターとのアカウント情報共有を防ぐのに役立ちます。
このサブスクリプションベースのパスワード管理サービスは、多くの著名な組織で企業環境において広く利用されており、最近ではWindowsがネイティブパスキー管理のサポートを追加しました。
既存の保護機能と新たな課題
この種のツール全般に言えることですが、1Passwordは、アクセス中のウェブサイトのURLが保管されているものと一致しない場合、ユーザーのログインデータを自動入力しません。これはフィッシングの試みに対する本質的な保護を提供しますが、一部のユーザーは依然として何かがおかしいことに気づかず、危険なページに手動でアカウント情報を入力してしまう可能性があります。
1Passwordは、この保護層だけに頼るのではセキュリティ上不完全であることを認めています。例えば、脅威アクターがタイプミスドメイン(typosquatted domains)など、綴りが間違っていたり似たようなドメイン名を登録した場合、ユーザーは正しいサイトにアクセスしたと思い込み、パスワードマネージャーが誤作動したか、金庫がまだロックされていると考えて、手動で資格情報を入力してしまう可能性があります。
新機能:フィッシング警告ポップアップ
このセキュリティギャップに対処するため、1Passwordユーザーは、潜在的なフィッシングのリスクを警告するポップアップという追加の保護層の恩恵を受けることになります。ベンダーは、「URLの余分な『o』を見落とすのは簡単で、ページの残りの部分が説得力がある場合はなおさらです」と説明しています。このポップアップは、ユーザーに「立ち止まって、先に進む前にもっとよく確認する」よう促します。
この新機能は、「個人」および「ファミリープラン」ユーザーには自動的に有効化されます。企業従業員向けには、管理者が1Password管理コンソールの認証ポリシーを通じて手動で有効化できます。
増加するフィッシング脅威の背景
パスワード管理会社は、AIツールの普及により、攻撃者がより説得力のある詐欺を大量に実行できるようになり、フィッシングの脅威が増加していることを強調しています。
1Passwordが米国で実施した2000人を対象とした調査では、以下の驚くべき結果が明らかになりました。
- 61%がフィッシングに成功した経験がある。
- 75%がリンクをクリックする前にURLを確認しない。
- 企業環境では、従業員の3分の1が仕事用アカウントでパスワードを再利用しており、そのほぼ半数がフィッシング攻撃の被害に遭った経験がある。
- 約半数の回答者が、フィッシング対策は自身の責任ではなくIT部門の責任だと考えている。
- 72%が不審なリンクをクリックしたことがあると認めている。
- 50%以上の回答者が、不審なメッセージを報告するよりも削除する方が便利だと回答した。