*著者：Eirik Salmi、Passwork システムアナリスト* **脅威アクターが正規のユーザー名とパスワードを使用してネットワークに侵入した場合、それを阻止する管理策は何でしょうか？** ほとんどの金融機関にとって、正直な答えは次のとおりです。即座にそれを捉えるものはありません。攻撃者は正規のユーザーのように見えます。IBMの[Cost of a Data Breach Report](https://www.ibm.com/reports/data-breach)（2025年）によると、彼らは平均186日間、横展開し、権限を昇格させ、重要なシステムをマッピングしてから、侵害が特定されるまでさらに55日間かかってそれを封じ込めます。 その頃には、運用上の損害は完了しており、規制の時計はすでに始まっています。 2025年1月17日、[Digital Operational Resilience Act (DORA)](https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en)がEU全域で適用されました。規制の第9条は、認証情報セキュリティを拘束力のある金融リスク管理策とし、不十分な機関には監督上の結果が伴います。 問題は、認証体制がベストプラクティスを満たしているかどうかではなくなりました。それは法律を満たしているかどうか、そしてそれを証明できるかどうかです。 この記事では、認証情報管理を規制するDORA第9条の特定の要件をたどり、侵害されたパスワードがDORAのフレームワークの下で運用回復力の失敗と見なされる理由を説明し、ギャップを埋めるための実践的な管理策の概要を示します。 ## DORAが対抗するために構築された脅威 Verizonの[Data Breach Investigations Report](https://www.verizon.com/business/resources/reports/dbir/)によると、盗まれた認証情報は2025年の初期アクセスベクターとして最大であり、全データ侵害の22％を占めています。金融機関にとって、その露出によるセクター固有のコストは、IBMのCost of a Data Breach Reportによると、インシデントあたり平均556万ドルです。これは2024年の608万ドルから減少しましたが、依然として世界で2番目に高い業界です。 認証情報盗難の供給側は完全に工業化されています。Rapid7の研究によると、初期アクセスブローカーは平均2,700ドルで検証済みの企業ネットワークアクセスを販売しており、リストの71％には特権認証情報が含まれています。これは、悪用するために技術的なスキルを必要としない、事前パッケージ化されたアクセスです。 Lumma、RisePro、StealC、Vidar、RedLineなどの情報窃盗犯は、認証情報ハーベスティングを大規模に自動化します。IBM X-Forceのデータによると、2024年のフィッシングによる配信は前年比84％増加し、2025年のデータはさらに急激な軌道を示しています。 DORAの第9条は、まさにこの連鎖を中断するために存在します。この規制は、欧州金融市場の運用継続性に対する文書化された継続的な脅威を反映しています。 ## DORA第9条の実際の要件 [DORA第9条](https://www.digital-operational-resilience-act.com/Article_9.html)は「保護と防止」と題され、第6条で義務付けられているICTリスク管理フレームワーク内にあります。これは、金融エンティティが実装しなければならない特定の技術的および手続き的な義務を定めています。 認証情報管理に直接関連する2つの規定があります。 * **第9条(4)(c)** は、金融エンティティに「情報資産およびICT資産への物理的または論理的アクセスを、正当で承認された機能および活動に必要な範囲にのみ制限するポリシーを実装する」ことを要求しています。これは最小権限の原則であり、法的義務として述べられています。 * **第9条(4)(d)** はさらに進んで、エンティティに「関連する標準および専用制御システムに基づいた強力な認証メカニズムのポリシーとプロトコル、および承認されたデータ分類およびICTリスク評価プロセスの結果に基づいてデータが暗号化される暗号化キーの保護措置を実装する」ことを要求しています。 その言語を運用上の用語で解釈すると、MFAは必須です。「関連する標準」への言及は、現在、リアルタイムでSMSおよびTOTPベースのMFAをバイパスできるAdversary-in-the-Middle（AiTM）フィッシングキットに対して耐性のある、最も広く展開されている認証標準であるFIDO2/WebAuthnを直接指しています。暗号化キー管理は規制要件です。 特権アクセス管理（PAM）ツールは規制で明示的に名前が挙げられていませんが、それらが提供する管理策は、第9条の要件に直接マッピングされます。セッション記録、ジャストインタイム（JIT）アクセスプロビジョニング、および特権認証情報ボールティングは、規制が説明するまさに「専用制御システム」です。 これらの管理策を展開していない機関は、監督者が行動できるコンプライアンスギャップに直面します。 欧州銀行監督局（EBA）およびESMAのDORAに基づく規制技術基準は、ICTリスク管理要件に関する追加の具体性を提供し、セクター固有の実装ガイダンスで第9条のベースラインを強化しています。 ## 運用回復力の失敗としての認証情報侵害 DORAの明示的な目的は、金融エンティティがICTの中断に耐え、対応し、回復できるようにすることです。認証情報侵害は、セキュリティインシデントのレンズを通して見るよりも、そのレンズを通して見るとまったく異なるように見えます。 平均186日の潜伏期間では、侵害された認証情報は個別のセキュリティイベントを生成しません。それは運用継続性に対する持続的で不可視な脅威を生成します。正規のユーザーとして表示されながら、横展開し、権限を昇格させ、重要なシステムをマッピングする攻撃者です。それは、DORAが保護するように設計されている運用継続性に対する直接的な脅威です。 2026年1月に発生したフランスの国家銀行登録簿の[breach](https://www.bleepingcomputer.com/news/security/data-breach-at-french-bank-registry-impacts-12-million-accounts/)は、そのメカニズムを具体化しました。脅威アクターは、フランスで開設されたすべての銀行口座のすべての記録を保持する省庁間データベースであるFicobaにアクセスできる単一の公務員の認証情報を取得しました。 その1つのアカウントのみを使用して、攻撃者はIBAN、口座名義人名と住所、税識別番号を含む120万件の銀行口座のデータをアクセスおよび抽出しました。 影響を受けたシステムはオフラインになり、登録簿での運用は中断され、インシデントはフランスのデータ保護当局CNILに報告されました。攻撃には技術的な洗練は必要ありませんでした。 DORAの下では、金融エンティティでのその規模のインシデントは、第19条に基づく義務的な報告義務をトリガーします。これは、分類後4時間以内（検出後最大24時間以内）の初期通知、72時間以内の中間報告、および1か月以内の最終報告です。 ## サードパーティの側面：ベンダーの認証情報はあなたの認証情報です DORAの第V章は、ICTサードパーティリスクに関する金融エンティティに対する明示的な義務を課しています。コンプライアンスの境界線は、エンティティ自身のシステムにとどまりません。 2024年5月の[Santander breach](https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/)は、欧州の参照点です。攻撃者は、Snowflakeの従業員から盗まれた認証情報を使用して、スペイン、チリ、ウルグアイ全域の顧客および従業員データを含むデータベースにアクセスしました。 認証情報は、数か月前に、請負業者のワークステーションに感染した情報窃盗マルウェアによって収集されていました。侵害されたSnowflakeアカウントのいずれにも多要素認証は有効にされていませんでした。 エントリーポイントはSantanderの内部ではありませんでした。それはベンダーの弱い認証体制であり、単一のexploitが書かれることなく、欧州最大の銀行の1つのデータを公開しました。 DORAの下では、重要なICTプロバイダーが認証情報ベースの侵害を経験した場合、金融機関は直接的な規制上の露出に直面します。エンティティは、ベンダーに同等の認証標準を契約で要求し、それらの要件に対するコンプライアンスを監査する必要があります。 ベンダーのパスワードポリシーのギャップは、ベンダーだけの問題ではありません。それは金融エンティティの規制上の責任です。 ## DORA準拠の認証情報管理の構築 第9条の要件を満たすには、4つの領域にわたる構造化されたプログラムが必要です。 * **フィッシング耐性のあるMFAを最初に展開する。** FIDO2/WebAuthnベースの認証（ハードウェアセキュリティキー、パスキー、プラットフォーム認証子）。SMSおよびTOTPベースのワンタイムパスワードは、現在の攻撃手法に対しては不十分です。すべてのユーザー、特に特権アカウントとリモートアクセスパスに対して、フィッシング耐性のあるMFAを強制します。 * **最小権限アクセスを強制する。** JITプロビジョニング（特定のタスクの期間のみ権限を付与する）は、認証情報盗難を非常に有害にする常時権限を排除します。オフボーディング時にアカウントを直ちに無効化します。休眠アカウントは、最も一般的で回避可能な攻撃ベクターの1つです。 * **すべての認証情報をボールト化する。** サービスアカウントパスワード、APIキー、および特権認証情報は、暗号化され、アクセス制御された認証情報ボールトに保存する必要があります。手動での認証情報管理は、大規模では運用上実行不可能であり、監査証跡を生成しません。ビジネスパスワードマネージャー