SaaSにおけるアカウント乗っ取り詐欺（ATO）とは何ですか？ 

SaaSにおけるアカウント乗っ取り (ATO) とは、認証情報、フィッシング、セッションアクティビティ、OAuth関連の経路などの方法を用いて、外部の者によってユーザーアカウントにアクセスされることを指します。

ATOは、その活動が通常のユーザーログインに似ているように見えるため、発見が困難な場合があります。これにより、一部のマルウェアベースの攻撃よりも正当なアクセスと区別することが難しくなります。

SaaSにおけるアカウント乗っ取り（ATO）は、接続されたシステム間および共有されたID全体へのアクセスに関連しています。

単一のIDが、メール、CRM、クラウドストレージ、その他リンクされたアプリケーションと関連付けられる場合があります。

攻撃者は有効な認証情報を好みます。なぜなら、それによって従来の境界防御を回避し、通常のユーザーアクティビティに紛れ込むことができるため、検知がより困難になるからです。

SaaS環境におけるATO（アカウント乗っ取り）イベントに関連して観察される要因の一つとして、MFAを伴う中間者攻撃を含むフィッシングの手法が挙げられます。

SaaS企業にとってのアカウント乗っ取り（ATO）の影響は、いくつかの領域に分類できます。これらには以下が含まれます。

• データアクセスやトランザクション監視といったセキュリティ関連のシナリオ（接続されたシステムへの横断的な移動を伴う可能性のあるもの）。
• インシデント対応の取り組みおよびコンプライアンスに関する考慮事項。
• 評判の低下、顧客維持率の変動、そしてMFAが導入されていても、特に管理者アカウントやサポートアカウントが関与する場合には発生し、テナントレベルでの検討が必要となります。 

一般的な手法には以下が含まれます。

• クレデンシャルスタッフィング
• パスワードスプレー
• フィッシング
• 中間者フィッシング
• OAuth同意フィッシング
• セッションハイジャック
• 携帯電話会社の変更（SIMスワップ）
• マルウェア/インフォスティーラー
• ソーシャルエンジニアリング

現代のフィッシングはセッショントークンを標的とすることがあり、多要素認証（MFA）を使用する認証フローを迂回する可能性があります。

ATOの標的： 

• 教育
• 小売/Eコマース
• 通信
• 金融サービス
• ヘルスケア

これらの業界が狙われるのは、保有する貴重なデータ、多数のユーザーアカウント、そしてリモートアクセスやコラボレーションツールへの依存があるためです。

SaaSプロバイダーは、予防、検出、対応を組み合わせた階層的なアプローチを用いることで、ATOを検出し防止することができます。主要な構成要素は以下の通りです：

• フィッシング耐性MFA
• 行動分析
• デバイスフィンガープリント
• 異常検知
• セッション保護
• ボット対策
• ロギングとアラート

ATOソリューションがSaaSサービスと連携する方法は複数あり、SSOやMFAなどを介して連携できます。 API, SDK、およびIDプロバイダーコネクタ。 

さらに、SIEMやSOARサービスと連携してインシデント対応を管理し、動的リスクスコアリングを活用してアクセスリクエストを評価します。

正当なユーザーに遅延が生じないようにしながら、OAuthトークンとサービスアカウントを保護する必要もあります。 

SaaSアカウントを保護するには、いくつかの手順が必要です。

1. まず、各アカウントに強力でユニークなパスワードを使用し、パスワードマネージャーを使ってそれらを生成・保存することを検討してください。
2. 次に、有効にします 多要素認証（MFA） 可能な場合は、フィッシング耐性のある方法またはパスキーで。
3. ログインアラートに注意し、予期しないMFAプロンプトを確認し、権限を承認する前にOAuthアプリの同意画面を確認してください。
4. 最後に、不審なアカウントアクティビティを発見した際は速やかにSaaSプロバイダーにご報告ください。

現在のATO防止策にはいくつかの異なるアプローチがあり、それぞれに特定のトレードオフが存在します。

従来の多要素認証（MFA）は、AiTMフィッシング、MFAファティグ、SIMスワッピング、トークン窃盗といった手法と併用されることがあります。

静的なルールベースのシステムでは、すべてのログインパターンを特定できず、さまざまな審査結果をもたらす可能性があります。