Michael Engle(マイケル・エングル)氏は1Kosmosの共同創業者であり、以前はリーマン・ブラザーズの情報セキュリティ責任者およびBastille Networksの共同創業者を務めた。
2025年4月、マークス・アンド・スペンサー(M&S)は、第三者のITヘルプデスクプロバイダーを標的とした高度なソーシャルエンジニアリング攻撃を受けた。M&Sのアーチー・ノーマン会長によると、BleepingComputerの報道を通じて、「攻撃者は同社と協力する5万人のうちの1人になりすまし、第三者機関を騙して従業員のパスワードをリセットさせた」という。
この侵害によりM&Sはオンライン販売を一時停止し、投資家に対して3億ポンド(約570億円)の損失の可能性を警告した。これは、ハロッズやCo-opへの侵入も試みた小売業を標的としたソーシャルエンジニアリング攻撃の波の中の一事例に過ぎない。
これを受けて、英国国立サイバーセキュリティセンターはガイダンスを発表し、組織に対してヘルプデスクのパスワードリセット時の本人確認プロトコルの強化と、特に特権アカウントに対する多要素認証の実施を促し、同様のなりすましによる侵害を防止するよう呼びかけた。
この戦術は新しいものではないが、より効果的になり、より頻繁に発生し、そしてはるかに高コストになっている。
なぜ小売業のサービスデスクが集中攻撃を受けているのか
いくつかの要因が重なり、小売業のサービスデスクが攻撃の主要な標的となっている。まず、IDの拡散が実際の問題だ。小売業者は特にピークシーズンには大規模な流動的な労働力に依存しており、これによりパスワードのリセット、新規アカウントの作成、MFAトークンの忘れなどが頻繁に発生する。こうした各やり取りが悪用の機会となる。
第二に、攻撃者のスキルが向上している。Scattered Spiderのようなグループは、カジノや通信会社から小売セクターへと標的をシフトしている。このようなグループは電話番号を偽装し、AI生成の音声を使用し、公開されている従業員データを活用して、最も経験豊富なサポート担当者でさえ欺いている。
そして最後に、報酬が即座に得られる点だ。不正なリセット1回で、POSシステム、ロイヤルティプログラムアカウント、ギフトカード在庫への不正アクセスが可能となり、これらはすべて容易に換金されたり、ランサムウェアの取引材料として使用されたりする。
信頼が電話回線と従来の認証方法に依存している場合、高度な技術的防御でさえバイパスされる可能性がある。業界全体のCISOが電話一本のような単純なことで眠れない夜を過ごすのも不思議ではない。
認証からアイデンティティへの信頼の移行
解決策はより多くのトレーニングやより厳格なスクリプトではない。セキュリティ意識は重要だが、敵対者がAIディープフェイク音声を使用し、認証情報を偽装し、弱いID検証プロセスをバイパスできる場合、それだけでは不十分だ。小売業のCISOが必要としているのは、アカウントリセットワークフローから人間の判断を排除し、検証可能な生体認証IDに基づいたものにする方法だ。
最新のIDシステムはこれを可能にする。知識ベースの認証(KBA)を生体認証と文書ベースの検証に置き換えることで、小売業者は電話の向こう側にいる人物の真のIDを確認できる—正しい回答を知っているだけの人物ではなく。そしてパスワードレス認証により、ヘルプデスクのリセットのほとんどを完全に排除できる。
私はこれが実際に機能するのを見てきた。ある全国的なオフィス用品小売業者は、ソーシャルエンジニアリングによる業務混乱の事件後、500店舗全体で生体認証による発信者確認を導入した。担当者はもはやセキュリティの質問に頼らず、代わりに発信者はモバイルデバイス、政府発行のID、そしてライブセルフィーを使用して自分自身を確認した。このプロセスは1分もかからず、サービスデスクにスピードと確実性の両方を提供した。
CISOが今すべきこと
まず、アカウントリセットの攻撃対象領域を徹底的に調査する。認証情報が変更される可能性のあるすべての方法—電話、チャット、キオスクなど—をリストアップし、使用されている検証方法を評価する。それらが記憶ベースの質問や担当者の判断に依存している場合、リスクがある。
第二に、どのトランザクションがステップアップ検証を必要とするかを評価する。すべてのリセットが同じではない。ロイヤルティアカウントへのアクセスは、POSマネジメントシステムへの管理者ログインとは異なるレベルのセキュリティが必要かもしれない。リスクベースのワークフローにより、トランザクションのタイプ、場所、機密性に応じて適切なレベルの摩擦を適用できる。
第三に、特権アクセスを制限する。最前線のサポートスタッフは高特権アカウントをリセットする能力を持つべきではない。役割ベースの制限を実装し、昇格されたリクエストには二次承認を要求する。
最後に、これらの対策をトレーニングとテストで強化する。合成音声と偽装された発信者IDを使用して、四半期ごとにヴィッシング(音声フィッシング)シミュレーションを実施する。これらの訓練を現実的なものにし、シナリオをローテーションして最前線を鋭敏に保つ。
IDファーストセキュリティのビジネスケース
侵害を防止することは必ずしも見出しにはならないが、収益を守る。マークス・アンド・スペンサーの単一のサイバーインシデントによる営業利益への3億ポンドの打撃を考えてみよう。生体認証パスワードレスアクセスを実装する適度なコストと比較すると、ROIは自明となる。
侵害防止以外にも、IDファーストセキュリティは従業員体験を向上させる。より速いリセット、より少ないフラストレーション、秘密の質問についてのやり取りがなくなることで、実際の生産性の向上と顧客サービスの改善につながる。
また、信頼も獲得できる。顧客が自分のデータとロイヤルティポイントがアカウント乗っ取りから安全であることを知れば、彼ら自身も忠実であり続ける可能性が高くなる。
公平な競争環境の実現
AIはID検証の風景を変革している。攻撃者は音声をディープフェイク化し、顔画像をクローン化し、リアルな文書を数秒で作成できる。しかし、防御側も強力なツールを持っている:生体認証、ライブネス検出、そしてユーザープライバシーを犠牲にすることなくリアルタイム保護を提供する不変の監査証跡だ。
小売業者は薄利で高い期待の下で運営している。検証されたIDに信頼を固定することで—認証方法ではなく—サービスデスクが本来の目的を果たすのを支援できる:本物のユーザーを支援し、脅威アクターではない。CISOがこの転換を早く行うほど、現代の小売セキュリティにおける最も悪用され—そして見過ごされている—ギャップの一つを早く閉じることができる。
IDの最前線はもはやファイアウォールやログインページではない。それはヘルプデスクへの電話だ。
