1Password、フィッシング対策を強化する新機能「ポップアップ警告」を導入
デジタル金庫およびパスワードマネージャーの「1Password」は、悪意のあるページをユーザーが識別し、脅威アクターへのアカウント認証情報の共有を防ぐためのフィッシングURLに対する組み込み保護機能を追加しました。多くの有名企業で広く利用されているこのサブスクリプションベースのパスワード管理サービスは、ユーザーのセキュリティをさらに高めます。
従来の保護機能と残された課題
他の同種ツールと同様に、1Passwordは、保存されているURLと一致しないウェブサイトを訪問した際には、ユーザーのログインデータを自動入力しません。これはフィッシングの試みに対する本質的な保護を提供しますが、一部のユーザーは異常を認識できず、危険なページに手動で認証情報を入力してしまう可能性があります。
1Passwordも認めているように、この保護レイヤーだけに依存するのはセキュリティの観点から不完全です。脅威アクターが誤ったスペルや似たドメイン名を登録する「タイポスクワッティングドメイン」にユーザーが引っかかる可能性があるためです。ユーザーは正しいサイトにアクセスしたと思い込み、パスワードマネージャーが一時的に不調だと考えたり、金庫がロックされていると誤解したりして、手動で認証情報を入力してしまうことがあり、これが新たなリスクとなっていました。
新たな「ポップアップ警告」機能の仕組み
このセキュリティギャップに対処するため、1Passwordユーザーは潜在的なフィッシングリスクを警告するポップアップ形式の追加保護レイヤーの恩恵を受けることになります。ベンダーはFacebookドメインのタイポスクワッティングを例に挙げ、「URL中の余分な’o’のような小さな違いは、ページの見た目がどれだけ巧妙でも、ユーザーには簡単に見過ごされてしまいます」と説明しています。このポップアップは、ユーザーが続行する前に「立ち止まってより注意深く確認するよう促す」ことを目的としています。
機能の提供と管理者向け設定
この新機能は、個人およびファミリープランのユーザーには自動的に有効になります。一方、企業で1Passwordを利用している場合は、管理者が1Password管理コンソールの認証ポリシーを通じて、従業員向けに手動で有効化することが可能です。
フィッシング脅威の現状とセキュリティ意識
1Passwordの発表では、AIツールの普及により攻撃者がより巧妙で大量の詐欺を仕掛けることが可能になったため、フィッシングの脅威が増大していると強調されています。米国で2000人を対象に行われた1Passwordの調査では、回答者の61%がフィッシングの被害に遭ったことがあり、75%がリンクをクリックする前にURLを確認しないことが判明しました。
企業環境では、たった1つのアカウント侵害が外部アクターによるネットワークやシステムへの横断的な侵入を許す可能性があるため、この状況は特に憂慮すべきです。同調査では、従業員の3分の1が仕事用アカウントでパスワードを使い回しており、その約半数がフィッシング攻撃の被害に遭った経験があることが明らかになりました。さらに、回答者のほぼ半数がフィッシング対策はIT部門の責任であり、自分たちの責任ではないと回答し、72%が疑わしいリンクをクリックしたことを認めています。そして、50%以上の回答者が、疑わしいメッセージを報告するよりも削除する方が便利だと考えていると述べています。