コンテンツにスキップ

資格情報の侵害🔗

資格情報の侵害ページでは、お客様の設定済みドメインに基づいて収集したすべての漏洩データを確認できます。IDRの概要で説明されている通り、アクティブなIDに対してのみ検出結果を生成しますが、お客様のドメインに関連する過去のデータも収集・保持しています。

資格情報の侵害

資格情報の侵害ページへのアクセス🔗

Taegis Menuから資格情報の侵害ページにアクセスすると、テーブルはデフォルトでアクティブな漏洩ステータスおよびアクティブなIDステータスでフィルタリングされます。

または、資格情報の侵害ウィジェット内のメトリックを選択することもできます。どのメトリックをクリックするかによって、以下のフィルターが適用された資格情報の侵害ページに遷移します。

  • ソースアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。
  • 平文パスワード:パスワードタイプが平文かつアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。
  • ハッシュ化パスワード:パスワードタイプがハッシュ化かつアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。
  • メールアドレスアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。
  • 一意のパスワードアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。
  • 管理者メールアドレス:管理者アカウントかつアクティブな漏洩ステータスでフィルタリングされた資格情報の侵害ページに遷移します。

注意

メールアドレスおよび一意のパスワードは、基礎データの全体的なメトリックであり、これらに関連するフィルターはありません。

資格情報の侵害メトリクス🔗

ページ上部のメトリクスは、資格情報の侵害ウィジェットに含まれるメトリクスと同じです。表示されるメトリクスはアクティブな漏洩に関するものであることに注意してください。

資格情報の侵害メトリクス

漏洩がアクティブと見なされるのは、以下のシナリオです。

  • 設定済みIDプロバイダー内にアクティブなIDが存在し、関連アカウントのlast_password_change時刻が最初の漏洩日より前である場合

注意

漏洩レコードに一致するIDが存在しない場合、これらは非アクティブと見なされます。これらのレコードは、削除済みや使用されていない古いユーザーやアカウントに関連していることが多いです。

メトリクスの定義🔗

  • ソース — お客様のドメインのデータが確認されたアクティブな一意の漏洩ソース数
  • 平文パスワード — 漏洩データ内で平文パスワードが特定されたアクティブな漏洩数
  • ハッシュ化パスワード — 漏洩データ内でハッシュ化パスワードが発見されたアクティブな漏洩数
  • メールアドレス — 漏洩データ内で確認されたアクティブな一意のメールアカウント
  • 管理者メールアドレス — 漏洩データ内で確認されたアクティブ管理者アカウント数
  • 一意のパスワード — 漏洩データ内で確認されたアクティブな一意のパスワード

漏洩データの調査🔗

リンクされたユーザー情報や漏洩レコード情報を含む複数のフィルターを組み合わせてデータを調査できます。また、レコードに関連する複数のタイムスタンプを利用してデータをソートできます。

  • 公開日 — レコードがデータセットで最初に発見された日
  • 漏洩日 — レコードが公開された日
  • 侵害日 — 侵害が発生した日(必ずしも利用可能とは限りません)

注意

同じユーザーに対する複数のレコードが1つの漏洩に存在する場合があります。これは、データがGenericな漏洩ソース(例:combolist)内で特定された場合や、ユーザーがデータセット内に複数回出現した場合に発生します。そのため、1つの漏洩ソース内で同じユーザーの複数レコードが表示されることがあります。

漏洩ステータス🔗

資格情報の侵害ページの漏洩には、主に2つのステータス(アクティブ非アクティブ)があります。

アクティブ🔗

一致するIDが存在し、関連IDのlast_password_change時刻が最初の漏洩日より前である場合、漏洩はアクティブと見なされます。

非アクティブ🔗

以下のいずれかの場合、漏洩は非アクティブとマークされます。

  • 設定済みIDプロバイダー内に一致するIDが存在しない場合
  • last_password_change時刻が漏洩日より後である場合
  • アカウントのパスワードが最近変更された場合
  • アカウントが無効化または削除された場合
  • 関連する発見事項が解決または却下された場合

漏洩詳細の表示🔗

ソースフィールドを選択すると、漏洩パネルが開き、漏洩の追加詳細や、利用可能な場合はリンクされたID情報が表示されます。

漏洩詳細

アクションの実行🔗

ID関連の対応アクションが設定されている場合、テーブルまたは漏洩詳細からリンクされたIDに対して対応アクションを実行できます。

  1. アクションを選択します。
  2. 実行したい対応アクションを選択します。
  3. プロンプトに従って操作します。

注意

一致するIDが見つからない場合、アクションボタンは無効になります。

よくある質問🔗

漏洩した資格情報のチェック頻度はどのくらいですか?

漏洩した資格情報は24時間ごとにチェックしています。

アカウント侵害の発見事項はどのように生成されますか?

これらが対応可能なものであることを保証するため、収集・分析しているデータを相関・検証するために複数の処理ステップを実施しています。

  1. 設定済みIDプロバイダー内にアクティブなIDが存在することを確認します。
  2. 利用可能な過去データ(約6年分)に基づき、平文パスワードまたはハッシュが最初に漏洩した時期を特定します。これは、新たに公開されたcombolistに過去の侵害データが含まれていることが多いため重要です。
  3. 平文パスワード値の場合、Microsoft Entra IDのグローバルパスワード複雑性要件と比較し、無効な値を除外します。
  4. 最後に、パスワードのfirst_leaked_dateとIDのlast_password_change_timeを比較します。漏洩がlast_password_change_time以降に初めて発生した場合、発見事項を生成します。

注意

アカウント侵害の発見事項はアクティブなIDに対してのみ生成されます。ただし、資格情報の侵害ページでは生データを引き続き確認できます。

アカウント侵害の発見事項のリスクレベルはどのように決定されますか?

発見事項を生成すべきと判断した場合、関連アカウントにMFAが有効かどうか、その強度を確認します。以下は、ユーザータイプ、漏洩タイプ、MFA構成に基づくリスクレベルです。

アカウントタイプ パスワードタイプ MFAなし MFA有効 フィッシング耐性MFA有効
管理者アカウント 平文 重大
管理者アカウント ハッシュ
非管理者アカウント 平文
非管理者アカウント ハッシュ
ハッシュやパスワードを収集・保存していますか?

いいえ、平文パスワードやハッシュ値は一切保存していません。また、IDプロバイダーからこれらを取得することもできません。データのスキャン・収集時には、観測された値にカスタムハッシュを適用し、レコードを平文またはハッシュ化パスワードとして分類します。これにより、パスワードの一意性を判定し、基礎パスワード値を保持せずにメトリクスを算出できます。

漏洩した資格情報の監視対象ドメイン数に制限はありますか?

Entra IDインテグレーションで特定されたドメインから任意の数を選択できます。

漏洩資格情報の監視に使用されるデータは何ですか?

使用しているデータセットは過去6年分に遡り、さまざまなダークウェブマーケットプレイス(例:Russian Marketplace、Genesis market)、TORサイト、公開・非公開のTelegramチャンネル、stealerログファイルを含みます。

VIP監視はどのように機能しますか?

VIP監視をユーザーに設定すると、過去1年間におけるユーザーの属性や会社名・ドメインに関するビジネス漏洩や言及を特定するため、ダークウェブを監視します。

注意

VIP監視は、個人向けID監視ソリューションの代替を目的としたものではありません。これらのサービスは、機微なPII監視や個人情報が発見された際の通知を含むことが多いですが、VIP監視はビジネス関連の漏洩・言及・キャンペーンの特定に重点を置いており、個人メール、電話番号、SNSアカウントの標的化を含む場合があります。