メインコンテンツにスキップ

クレデンシャル

2か月以上前に更新

Axur クレデンシャルモニタリングはどのようにして御社を保護しますか?

当社がこれらのフォーラム上で御社のドメインを含む認証情報の流出を特定すると、プラットフォームは Data Leakage ワークスペースに検出を登録します。

どのような企業がこのモニタリングの恩恵を受けられますか?

Axur クレデンシャルモニタリングは、モバイルアプリやウェブアプリケーションを通じて顧客または従業員向けのログインエリアを持つ企業に適しています。さらに、従業員が他のプラットフォームでログインする際にクレデンシャルが漏洩するリスクを最小限に抑えたい企業にも有効です。多くの人々は複数のサービスで同じパスワードを使用するため、第三者によるクレデンシャルの漏洩は、企業の内部システムへの不正アクセスの試みにもつながる可能性があります。

認証情報の窃取を防ぐ方法は?

顧客や従業員に定期的なパスワード変更を促し、強力なパスワードの使用を徹底させ、すべてのプラットフォーム(自社および外部契約のもの)で二要素認証を利用することが重要です。加えて、アイデンティティ管理ツールの活用やアプリの定期的な更新は、脆弱性を減らし、セキュリティの向上に役立ちます。

Axur プラットフォームでクレデンシャルモニタリングを直接設定する方法

設定形式が更新されました。自社のデータ漏えいを監視するには、こちらの記事に記載された手順に従ってください:「監視対象資産 – データ漏えい」

監視登録後に、さらにドメイン、アプリ、サブドメインを変更または追加できますか?

はい、ブランドアセットの設定でいつでも監視対象URLを変更できます。すべてのURL(ドメイン、ウェブサイト、ホスト、サブドメイン、アプリ)は、ブランドと直接関連していることが重要です。

プラットフォームはどのように機能しますか?

チケット表示がある他の検出タイプとは異なり、認証情報の検出はリスト形式で表示されます。この新しいアプローチにより、ユーザーはより大量の情報を扱う際に、はるかにスムーズなワークフローを確立できます。

注意: パスワードが 4桁未満 の認証情報は自動的に除外され、Axur プラットフォームでの検出として記録されません

認証情報セクションでは、認証情報リストを簡単にナビゲートできる新しいフィルターが利用できます。検出内容のより詳細な分析を行う際に追加情報が必要になる場合がありますが、特定の検出をクリックして展開することで、利用可能なすべてのメタデータを確認できるようになりました。

より詳細な分析が必要な場合、クエリの結果をCSV形式でエクスポートできます。ファイルは可能な限り早く、あなたのメールにて利用可能になります。

重要な情報(ソース、グループ、ファイル名)の特定方法

認証情報タブで報告されたケースをクリックすると、画面右側にサイドパネルが自動で表示されます。このパネルでは、検出に関する重要な詳細情報を確認できます。内容は以下の通りです:

  • ソース(Source): フォーラム、グループ、共有プラットフォームなど、公開された認証情報の出所。

  • グループ(Group): データが見つかったグループやコミュニティの名称。

  • ファイル名(File name): データがファイル内に保存されている場合、そのファイル名が表示され、特定を容易にします。

さらに、サイドパネルには公開に関する追加メタデータが含まれる場合があり、分析や意思決定の支援に役立ちます。

調査中のインフォスティーラーログへのアクセス

認証情報は、インフォスティーラーログ、コンボリスト、データベースダンプなど、さまざまな形式で出現することがあります。インシデントがインフォスティーラーに関連している場合、認証情報が公開された元のファイルと、以下のような追加のコンテキストを確認することが重要です:

  • マシンのIPアドレス

  • クッキー

  • ブラウジング履歴

  • マルウェアによって収集されたその他のデータ

当社では、公開された認証情報を含む特定のファイルと、可能な場合はそのファイルが含まれていた元のパッケージの両方を提供しています。これらは認証情報の詳細の「ファイル情報」セクションから直接ダウンロードできます。

ファイルパスを確認することで、収集されたすべての情報を検査し、さらなる調査や対応をサポートできます。

ファイルは収集後1年間利用可能です。

収集されたすべてのファイルは、そのままの状態で提供されており、マルウェアの検査は行われていません。調査中は、サンドボックス環境の使用を強く推奨します。

認証情報検出のライフサイクルとは

検出はまず「新規(New)」として登録され、その後社内で処理されるか、解決または破棄されます。関連性がないと判断されたケースは破棄される場合があります。

重複検出とは何ですか

12月以降、プラットフォーム上で登録される認証情報が一意であることを保証し、重複する発生を排除する改善を実施しました。

現在の重複排除ルールは以下の通りです:

  • ユーザー名 + パスワード + URL → この3つのパラメータが以前の検出と同一である場合、その認証情報は重複と見なされ、再登録されません。

このアプローチにより、冗長なアラートを防ぎ、監視の精度と効率を向上させることができます。

ソースとは何ですか

  • Telegram

  • WhatsApp

  • Discord

  • Mega.io

  • ペーストサイト

  • ディープ/ダークウェブフォーラム

  • IntelX

検出後に行うべきこと

  • 認証情報が公開された人には、使用されているすべての場所でできるだけ早くパスワードを変更するよう通知し、従業員に第三者サービスで企業認証情報を使用するリスクについて教育する。

  • 社内の認証情報が公開された場合、影響を受けたマシンに不正アクセスがないか直ちに確認し、セキュリティログをチェックし、潜在的な侵害を防ぐために認証情報を更新する。

  • 認証情報を変更する際は、各アカウントに対して一意で強力なパスワードを作成することを推奨する。強力なパスワードは、8文字以上で、大文字・小文字・数字・特殊文字を含むもの。

  • 定期的に社内のパスワードリセットやパスワードポリシーの見直しを実施する。

  • すべての場所で二要素認証を有効にする。追加のセキュリティバリアとして機能する。

  • すべてのパスワードが変更されたら、検出ステータスを「解決済み」に変更する。

  • 検出のテイクダウンをリクエストすることはできない。

API

当社のエクスポージャーAPIを使用すると、自動化されたワークフローやデータ収集を作成できます。主な機能は以下の通りです:

  • カスタムフィルターを使用した認証情報の検索

  • カスタムフィルターを使用した認証情報の集計

  • 検出ステータスの更新

  • タグの追加および削除

大量の検出を扱う場合は、1リクエストあたり最大1000件の認証情報を対象とした一括操作の使用を推奨します。

認証情報APIのドキュメントは以下で参照可能です:
https://docs.axur.com/en/axur/api/#tag/Credential-Search-Operations

Webhooks

当社では、認証情報の検出や更新に関する通知を、プラットフォーム標準のWebhooksを通じてほぼリアルタイムで提供しています。

サポートされるイベント:

  • exposure.created

  • exposure.updated

Webhookのドキュメントは、AxurプラットフォームのWebhooksにてご確認ください。

セーフリスト(Safelist)

メールアドレスをセーフリストに追加すると、特定のユーザー名に関する新しい認証情報の検出が防止されます。

  • 現在、サポートされているのはメールベースのユーザー名のみです。

ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊

関連記事
顧客認証情報の漏洩
監視対象アセットデータ – 役員
経営幹部とVIP向けの監視:パーソナライズされたセキュリティ
脅威ハンティングの検索パラメーターとは?
Threat Hunting における認証情報の検索パラメーターとは?
こちらの回答で解決しましたか?