トークン窃取・再利用とは？

トークン窃取・再利用とは、お金・アカウントを守るための対策を迂回するサイバー攻撃の一種で、オンラインサービスのログイン後に発行される「認証トークン」や「セッションクッキー」を盗み出し、それを使って正規ユーザーになりすます攻撃手法です。セッションハイジャッキング、クッキー窃取、トークンリプレイ攻撃とも呼ばれます。

認証トークンとは、ウェブサイトやクラウドサービスにログインした際、ブラウザに保存される「ログイン済み証明書」のようなものです。この証明書があれば、パスワードを再入力しなくてもサービスを利用できます。攻撃者はこのトークンを盗むことで、多要素認証（MFA）さえも回避して不正アクセスを実現します。

2024年の調査では、多要素認証を適切に導入している組織でも、ビジネスメール詐欺被害の79％がトークン窃取によって引き起こされています。つまり、従来のセキュリティ対策であるパスワードと多要素認証だけでは不十分な時代になっているのです。お金・アカウントを守るためには、トークン窃取を想定した新しいセキュリティ対策が必要です。

トークン窃取・再利用の別の呼び方

この攻撃手法には複数の呼び方があります。技術的な文脈では「セッションハイジャッキング」「クッキーハイジャッキング」と呼ばれ、具体的な手法によっては「トークンリプレイ攻撃」「セッショントークン窃取」「クレデンシャル窃取後の再利用」などと表現されます。また、攻撃の実行方法によって「AiTM（Adversary-in-the-Middle）攻撃」「パスザクッキー攻撃」といった名称も使われます。

トークン窃取・再利用を簡単に言うと？

トークン窃取・再利用を身近な例で説明すると、映画館の入場チケットを盗まれるようなものです。

映画館でチケットを購入すると、スタッフがチケットを確認して入場を許可します。一度入場すれば、館内で飲み物を買ったり、トイレに行ったりするたびにチケットを見せる必要はありません。しかし、もし誰かがあなたのチケットの半券をコピーして持ち出せば、その人もあなたと同じように館内で自由に行動できてしまいます。

オンラインサービスでも同じことが起こります。ログイン時にパスワードと多要素認証コードを入力すると、ブラウザに「ログイン済みチケット」（認証トークン）が保存されます。このチケットがある限り、再度パスワードを入力しなくてもサービスを使い続けられます。攻撃者がこのチケットを盗めば、パスワードを知らなくてもあなたになりすましてサービスを利用できるのです。

さらに問題なのは、映画館のスタッフがチケットの持ち主を確認しないのと同じように、多くのオンラインサービスもトークンを使う人が本人かどうかを十分に確認していないことです。そのため、攻撃者は盗んだトークンを使って、まるで正規ユーザーのように振る舞えてしまいます。

トークン窃取・再利用の現状

トークン窃取・再利用は、2024年から2025年にかけて急激に増加しているサイバー攻撃手法です。Microsoftの報告によると、2024年には前年と比較してAiTM（中間者）攻撃が146％増加しており、多要素認証を回避する手段として攻撃者に広く利用されるようになっています。

FRSecureの2024-2025年のインシデント対応調査では、特に注目すべき変化が明らかになりました。調査対象となったビジネスメール詐欺事件65件のうち、79％が多要素認証を適切に実装していた組織で発生しています。これは2023年の27％から大幅に増加しており、トークン窃取が多要素認証を迂回する主要な手段になっていることを示しています。

最新の攻撃手法の進化

2023年から2024年にかけて、情報窃取型マルウェア（インフォスティーラー）による攻撃が大きく進化しました。Lumma、Rhadamanthys、Stealc、Medusa、RisePro、Whitesnakeといった複数のマルウェアグループが、Googleの未公開APIを悪用して期限切れのセッションクッキーを復元する技術を開発しました。

この技術により、攻撃者は一度盗んだトークンの有効期限が切れても、新しいトークンを生成して不正アクセスを継続できるようになっています。2024年1月に確認されたこの手法は、従来のセキュリティ対策では防ぎにくい脅威として認識されています。

日本国内での被害状況

日本でも深刻な被害が発生しています。2024年には、大手暗号資産取引所のDMM Bitcoinから約482億円相当の暗号資産が窃取される事件が発生しました。この攻撃では、ウォレットソフトウェア開発会社の従業員を標的としたソーシャルエンジニアリング攻撃により、秘密鍵やアクセストークンが盗まれたと考えられています。

警察庁の統計によると、2024年の不正アクセス行為の認知件数は5,358件で、そのうち「パスワードの設定・管理の甘さにつけ込んで入手」が174件、「識別符号を知り得る立場にあった元従業員や知人等による犯行」が107件となっています。しかし、これらの数字には、トークン窃取による被害の多くが含まれていない可能性があり、実際の被害はさらに大きいと推測されます。

企業への影響

2024年上半期に日本で公表されたセキュリティインシデントは111件に達し、このうちランサムウェア攻撃が18件を占めています。これらの攻撃の多くで、初期侵入にトークン窃取が利用されていると考えられます。KADOKAWAの事例では、フィッシング攻撃により従業員のアカウント情報が盗まれ、最終的に大規模なランサムウェア攻撃につながりました。

暗号資産業界では特に深刻で、2024年の世界全体での盗難被害額は22億ドル（前年比22％増）に達し、そのうち43.8％が秘密鍵やアクセストークンの侵害によるものでした。中央集権型取引所が標的となるケースが増えており、秘密鍵やトークンの管理が重要な課題となっています。

トークン窃取・再利用で発生する被害は？

トークン窃取・再利用による被害は、個人のアカウント乗っ取りから企業全体を麻痺させる大規模攻撃まで、広範囲に及びます。攻撃者は盗んだトークンを使って、正規ユーザーと同じ権限でシステムにアクセスし、さまざまな不正行為を実行します。

被害の特徴として、多要素認証が設定されていても防げない点が挙げられます。トークンはすでに認証を通過した後の「証明書」であるため、攻撃者はパスワードや認証コードを知らなくても、盗んだトークンだけで不正アクセスが可能です。しかも、正規のログイン状態を装うため、従来のセキュリティ対策では検出が困難です。

トークン窃取・再利用で発生する直接的被害

金銭的損失
トークン窃取の最も深刻な直接被害は金銭の窃取です。2024年のDMM Bitcoin事件では約482億円相当の暗号資産が盗まれました。オンラインバンキングのトークンが盗まれた場合、不正送金が実行され、2024年の日本国内での不正アクセスによるインターネットバンキング不正送金は4,342件に上っています。企業アカウントが乗っ取られた場合、取引先への偽の請求書送付や不正な支払い指示により、数千万円から数億円規模の被害が発生することがあります。

機密情報の漏洩
盗まれたトークンを使って、攻撃者は社内の機密文書、顧客データ、設計図、財務情報などにアクセスできます。クラウドストレージやメールシステムのトークンが盗まれると、保存されている全てのデータが危険にさらされます。2024年上半期のセキュリティインシデントでは、複数の企業で数十万件から数百万件規模の個人情報漏洩が発生しており、その多くが不正アクセスによるものでした。漏洩したデータはダークウェブで売買され、さらなるサイバー攻撃や詐欺に利用されます。

システムの乗っ取りと改ざん
管理者権限を持つアカウントのトークンが盗まれた場合、システム全体が乗っ取られる危険性があります。攻撃者は新しいユーザーアカウントを作成したり、セキュリティ設定を変更したり、バックアップを削除したりできます。ウェブサイトのコンテンツを改ざんして偽の情報を掲載したり、マルウェアを仕込んだりすることも可能です。クラウド環境のAPIトークンが盗まれると、仮想サーバーの作成や削除、データベースへの不正アクセスなど、インフラ全体への攻撃が可能になります。

トークン窃取・再利用で発生する間接的被害

ランサムウェア攻撃への発展
トークン窃取は、より大規模なランサムウェア攻撃の入口として利用されることが増えています。攻撃者は盗んだトークンで社内ネットワークに侵入し、重要なシステムやデータを暗号化して身代金を要求します。2024年上半期に日本で公表されたランサムウェア被害18件の多くで、初期侵入にアカウントの乗っ取りが使われたと推測されます。KADOKAWAの事例では、フィッシングによるトークン窃取から始まり、最終的に2025年3月期に36億円の特別損失を計上する事態に発展しました。

ビジネスメール詐欺（BEC）の実行
盗まれたメールアカウントのトークンを使い、攻撃者は取引先や従業員になりすまして偽の請求書や支払い指示を送ります。2024-2025年の調査では、多要素認証を実装していた組織でも、トークン窃取によるビジネスメール詐欺が全インシデントの48.15％を占めています。攻撃者はメール転送ルールを設定して全ての送受信メールを監視し、適切なタイミングで詐欺メールを送信するため、被害者も取引先も詐欺に気づきにくくなっています。

レピュテーションの低下と取引先への二次被害
トークン窃取による情報漏洩や不正アクセスが発生すると、企業の信頼性が大きく損なわれます。顧客や取引先からの信頼を失い、契約解除や取引停止につながることがあります。さらに、盗まれたアカウントを使って取引先に対するフィッシング攻撃が実行されると、自社が攻撃の発信源となり、サプライチェーン全体に被害が拡大します。2024年には、委託先企業への攻撃が原因で、委託元企業の個人情報が漏洩する「二次被害」が多数発生しました。こうした事態は、法的責任や損害賠償請求、さらには事業継続の危機にもつながります。

トークン窃取・再利用の対策方法

お金・アカウントを守るためのトークン窃取・再利用へのセキュリティ対策は、トークンを盗まれないようにする「予防策」、盗まれたトークンの悪用を防ぐ「検出・制限策」、そして被害発生時の「緊急対応策」の三層で構成されます。このサイバー攻撃に対しては、多要素認証だけでは不十分な現代において、これらを組み合わせた多層防御が不可欠です。

トークンを盗まれないための予防策

フィッシング対策の徹底
メールやメッセージのリンクを不用意にクリックせず、ログインが必要な場合は必ずブックマークや直接URLを入力してアクセスします。AiTM（中間者）フィッシングサイトは正規サイトとほぼ同じ見た目をしているため、URLのドメイン名を必ず確認することが重要です。企業では定期的なセキュリティ教育を実施し、従業員がフィッシングメールを見分けられるようトレーニングします。特に緊急性を装うメールや、予期しないログイン要求には注意が必要です。

エンドポイント保護の強化
情報窃取型マルウェア（インフォスティーラー）からパソコンやスマートフォンを守るため、信頼できるセキュリティソフトウェアを導入し、常に最新の状態に保ちます。不審なソフトウェアやブラウザ拡張機能のインストールを避け、特に「クラック版」や「無料版」を装ったソフトウェアには注意します。2024年の調査では、多くのインフォスティーラーが海賊版ゲームや偽ソフトウェアを通じて配布されています。企業環境では、EDR（Endpoint Detection and Response）ソリューションの導入により、マルウェアの動作をリアルタイムで監視します。

ブラウザとOSの定期更新
ブラウザとオペレーティングシステムを常に最新バージョンに保つことで、既知の脆弱性を悪用したトークン窃取を防ぎます。Google Chromeなどのモダンブラウザでは、2024年から「アプリケーション連動暗号化」機能が導入され、セッションクッキーの暗号化が強化されています。しかし、この保護を受けるには最新バージョンへの更新が必須です。自動更新を有効にし、更新通知が来たら速やかに適用することをお勧めします。

盗まれたトークンの悪用を防ぐ検出・制限策

デバイス認証とコンプライアンス要件
信頼できるデバイスからのアクセスのみを許可する設定により、トークンが盗まれても攻撃者のデバイスからはアクセスできないようにします。Microsoft 365やGoogle Workspaceなどのクラウドサービスでは、デバイス管理機能を使って、企業が管理するデバイスからのみアクセスを許可できます。さらに、デバイスが最新のセキュリティパッチを適用していることや、暗号化が有効になっていることを条件とする「コンプライアンスベースのアクセス制御」を設定します。

信頼できる場所とIPアドレス制限
オフィスやVPNなど、信頼できる場所からのアクセスのみを許可する設定により、不正な場所からのトークン使用を防ぎます。条件付きアクセスポリシーで地理的位置を制限すれば、日本国内の組織のトークンが突然海外から使用された場合、自動的にブロックできます。この設定により、AiTMフィッシングやパスザクッキー攻撃で盗まれたトークンを攻撃者が使用しても、アクセスが拒否されます。ただし、リモートワークが一般的な現代では、VPNと組み合わせた柔軟な設定が必要です。

継続的アクセス評価（CAE）の有効化
セッション中の異常を検出し、リアルタイムでアクセスを再評価する機能です。通常は1時間ごとにトークンが更新されますが、CAEを有効にすると、場所の急激な変化、デバイス情報の不一致、リスクレベルの上昇などが検出された瞬間に再認証を要求できます。Microsoft Entra ID（旧Azure AD）では、Entra P2ライセンスでより詳細なリスク検出が可能になり、中程度または高リスクと判定された場合にサインインをブロックできます。

トークン保護とデバイスバインディング
トークンを特定のデバイスに暗号的に紐付ける技術により、たとえトークンが盗まれても他のデバイスでは使用できないようにします。Microsoftの「Token Protection for Sign-in Sessions」やGoogleの「Device Bound Session Credentials」などの技術がこれに該当します。これらの機能は、ブラウザ内部で秘密鍵を生成し、トークンの所有者を暗号的に証明するため、攻撃者がトークンをコピーしても、秘密鍵がなければなりすましができません。ただし、これらの技術は比較的新しく、全てのサービスで利用できるわけではないため、将来の標準的な保護手段として期待されています。

被害発生時の緊急対応策

異常なアクティビティの監視
ログイン履歴や認証ログを定期的に確認し、見覚えのない場所やデバイスからのアクセスがないかチェックします。多くのクラウドサービスでは、セキュリティダッシュボードで最近のログイン履歴を確認できます。企業環境では、SIEM（Security Information and Event Management）システムを使って、認証ログを集約し、以下のような異常を自動検出します：短時間での複数地域からのアクセス、通常とは異なる時間帯のアクセス、大量のデータダウンロード、新しいメール転送ルールの作成、管理者権限の変更などです。

マルウェア感染時の即座のセッション無効化
デバイスでマルウェア感染が検出された場合、そのデバイスで使用していた全てのサービスのセッションを直ちに無効化します。多くのクラウドサービスでは、管理者が全てのアクティブセッションを強制的にログアウトさせる機能を提供しています。これにより、マルウェアが盗んだトークンを攻撃者が使用する前に無効化できます。インシデント対応計画では、マルウェア検出から30分以内にセッション無効化を実行する手順を定めることが推奨されます。

パスワード変更とアカウントの保護
不正アクセスが疑われる場合、速やかにパスワードを変更し、新しいセッショントークンを発行させます。同時に、そのアカウントで使用していた他のサービスでもパスワードを変更します。特に、同じパスワードを複数のサービスで使い回していた場合は、全てのサービスで変更が必要です。また、二段階認証の設定を確認し、不正な認証方法が追加されていないかチェックします。メール転送ルールや委任設定など、攻撃者が永続的なアクセスを維持するために設定した可能性のある項目も確認します。

トークン窃取・再利用の対策を簡単に言うと？

トークン窃取・再利用の対策を身近な例で説明すると、銀行のキャッシュカードを守る方法に似ています。

まず、カードそのものを盗まれないようにする対策があります。不審な人に近づかない、怪しいATMを使わない、カードを人に見せないといった基本的な注意です。オンラインでは、フィッシングメールに注意し、怪しいサイトでログインしない、セキュリティソフトを入れるなどの対策がこれに当たります。

次に、万が一カードが盗まれても悪用されにくくする対策です。銀行では取引時に暗証番号を要求し、普段と違う場所での使用を検知して取引を停止します。オンラインサービスでも、いつもと違う場所やデバイスからのアクセスを検出し、追加の確認を求めたり、アクセスを遮断したりします。

さらに、異常に気づいたらすぐに対応する仕組みも重要です。銀行では身に覚えのない取引があれば即座にカードを止められます。オンラインでも、不審なログインを見つけたら全てのセッションをログアウトし、パスワードを変更します。

重要なのは、これらの対策を組み合わせることです。カードを盗まれないように注意しながら、万が一盗まれても被害を最小限に抑える準備をしておく。そして、異常があればすぐに対処できる体制を整えておく。この三段構えの防御が、トークン窃取・再利用から身を守る最も効果的な方法です。

トークン窃取・再利用に関連した攻撃手法

トークン窃取・再利用は単独で実行されることは稀で、お金・アカウントを守るセキュリティ対策を回避するため、他のサイバー攻撃手法と組み合わせて使用されることが一般的です。特に、お金・アカウントを守るカテゴリ内の複数の攻撃手法と密接に関連しています。

OAuth／SSOの悪用との関連

OAuth／SSOの悪用は、トークン窃取・再利用と技術的に深く結びついています。OAuthやSSO（シングルサインオン）では、一度認証すると「アクセストークン」が発行され、複数のサービスにログインできます。攻撃者がこのアクセストークンを盗めば、パスワードを知らなくても連携している全てのサービスにアクセスできます。

2024年に報告されたDMM Bitcoinの事件では、攻撃者が従業員のアカウントを乗っ取り、そこから暗号資産ウォレットへのアクセストークンを取得したと推測されています。このように、SSOで連携しているアカウントのトークンが盗まれると、被害範囲が一気に広がります。企業環境では、Microsoft 365やGoogle Workspaceなどのアイデンティティプロバイダーのトークンが盗まれると、社内の数十から数百のサービスに不正アクセスされる危険性があります。

対策としては、OAuth同意画面での許可内容を慎重に確認すること、そして各サービスで「最近の認証活動」を定期的にチェックし、見覚えのないOAuth接続があれば即座に取り消すことが重要です。

セッション固定／クッキー盗難との関連

セッション固定／クッキー盗難は、トークン窃取・再利用の具体的な実行手法の一つです。セッション固定攻撃では、攻撃者が事前に用意したセッションIDを被害者に使わせ、その後そのセッションIDでなりすまします。クッキー盗難は、ブラウザに保存されているセッションクッキー（トークンを含む）を直接盗み出す手法です。

2023年から2024年にかけて、LummaやRhadamanthysといった情報窃取型マルウェアが、ブラウザのクッキーストレージから直接セッションクッキーを抽出する手法を高度化させました。これらのマルウェアは、Chromeなどのブラウザが保存する暗号化されたクッキーを復号化し、攻撃者のサーバーに送信します。攻撃者は受け取ったクッキーを自分のブラウザにインポートすることで、被害者のログイン状態を完全に再現できます。

さらに深刻なのは、Google OAuth MultiLogin APIを悪用して期限切れのクッキーから新しい有効なクッキーを生成する技術です。この手法により、一度盗まれたクッキーの有効期限が切れても、攻撃者は継続的にアクセスを維持できます。

同意画面フィッシング（OAuth同意詐欺）との関連

同意画面フィッシングは、トークン窃取の初期段階として機能します。攻撃者は正規のOAuthフローを悪用し、ユーザーに「便利なアプリ」や「無料サービス」として偽のアプリケーションへの同意を求めます。ユーザーが同意すると、そのアプリには正規のアクセストークンが発行され、攻撃者はメール、連絡先、ファイルなどへのアクセス権を得ます。

この攻撃では、ユーザーが「同意」ボタンをクリックすることで、攻撃者に正規のトークンを渡してしまいます。フィッシングサイトでパスワードを盗む手法とは異なり、サービス提供側から見れば正規の認可フローなので、検出が非常に困難です。

Microsoft 365を狙った同意画面フィッシング攻撃では、「ドキュメント閲覧ツール」や「カレンダー同期アプリ」を装って、メールの読み取り権限やファイルへのアクセス権限を要求します。一度同意すると、攻撃者は多要素認証を迂回して継続的にデータにアクセスできます。この手法で盗まれたトークンは、通常のログイン履歴には表示されず、ユーザーが「接続済みアプリ」の一覧を確認しない限り発見されません。

トークン窃取・再利用のよくある質問

トークンは何日くらい有効なのですか？

トークンの有効期間はサービスによって大きく異なりますが、一般的には数時間から数週間程度です。

多くのウェブサービスでは、セッショントークンの有効期限を1時間から24時間に設定しています。例えば、Microsoft 365のアクセストークンは標準で1時間ですが、リフレッシュトークンを使えば最大90日間アクセスを維持できます。Google Workspaceでも同様の仕組みがあり、一度ログインすれば、明示的にログアウトしない限り長期間ログイン状態が続きます。

問題は、この「便利さ」が攻撃者にとっても有利に働くことです。トークンの有効期限が長ければ長いほど、盗まれた後の不正アクセス期間も長くなります。一部の最新セキュリティ設定では、リスクの高い操作（大量のデータダウンロードや管理者設定の変更など）を行う際に、トークンの有効期限に関係なく再認証を要求する機能が提供されています。

セキュリティ対策としては、使い終わったら毎回ログアウトする習慣をつけることが重要です。特に共有のパソコンや公共のWi-Fiを使用した後は、必ずログアウトしてトークンを無効化しましょう。

多要素認証を設定していれば安全ではないのですか？

多要素認証は重要なセキュリティ対策ですが、トークン窃取攻撃に対しては完全な防御にはなりません。

多要素認証が保護するのは「ログイン時の認証プロセス」です。しかし、トークン窃取攻撃では、すでにログインが完了した後の「ログイン済み証明書」を盗むため、多要素認証を迂回できてしまいます。2024-2025年の調査では、多要素認証を適切に導入していた組織でも、ビジネスメール詐欺の79％がトークン窃取によって発生しています。

特に、AiTM（中間者）フィッシング攻撃では、ユーザーが正規サイトだと思ってログインし、多要素認証コードも入力します。攻撃者は裏でこの情報を本物のサイトに転送し、正規のトークンを受け取ります。ユーザーが多要素認証を完了した結果、攻撃者が有効なトークンを手に入れてしまうのです。

したがって、多要素認証に加えて、デバイス認証、場所ベースのアクセス制限、継続的なアクセス評価など、複数の防御層を組み合わせることが現代のセキュリティ対策では不可欠です。

個人でもトークン窃取の被害に遭いますか？

はい、個人でもトークン窃取の被害に遭う可能性は十分にあります。

実際、個人のGoogleアカウント、Apple ID、Amazonアカウントなどが標的となるケースが増えています。攻撃者は盗んだトークンを使って、オンラインショッピングでの不正購入、メールアカウントからの個人情報収集、クラウドストレージに保存されている写真や書類の窃取などを行います。

特に暗号資産やオンライン決済サービスを利用している個人は、金銭的被害に直結しやすい高リスクのターゲットです。2024年には、暗号資産取引所の個人アカウントから、トークン窃取を通じて多額の資産が盗まれる事件が複数報告されています。

個人が実践すべき対策としては、フィッシングメールや怪しいリンクを開かない、セキュリティソフトを最新状態に保つ、定期的にログイン履歴を確認する、重要なアカウントでは定期的にパスワードを変更する、などがあります。また、Google ChromeやMicrosoft Edgeなどのモダンブラウザを使用し、常に最新バージョンに更新することで、ブラウザ側のクッキー保護機能を活用できます。

トークンが盗まれたかどうかはどうやって確認できますか？

トークンが盗まれた可能性を示すいくつかの兆候があります。

最も明確なサインは、身に覚えのないログイン通知や「新しいデバイスからのアクセス」という警告メールが届くことです。多くのサービスは、普段と異なる場所やデバイスからログインがあった場合に通知を送信します。これらの通知を受け取ったら、すぐにログイン履歴を確認してください。

ログイン履歴は、多くのサービスで「セキュリティ設定」や「アカウント設定」のメニューから確認できます。Google、Microsoft、Apple、Facebookなどの主要サービスは、最近のログイン活動を時系列で表示し、使用されたデバイス、場所、IPアドレスを確認できます。見覚えのない場所（特に海外）からのアクセスや、使っていないはずのデバイス（例：自分はiPhoneしか持っていないのにAndroidからのアクセス）が記録されていたら、トークンが盗まれている可能性が高いです。

その他の兆候としては、身に覚えのないメール送信履歴、勝手に作成されたメール転送ルール、見覚えのない購入履歴やダウンロード履歴、設定の変更、新しく追加された認証方法やアプリの権限などがあります。これらの異常を発見したら、直ちに全てのセッションをログアウトし、パスワードを変更して、サービス提供者のサポートに連絡してください。

企業でトークン窃取を防ぐには何が一番効果的ですか？

企業でのトークン窃取対策では、技術的防御と人的教育を組み合わせた多層防御が最も効果的です。

技術面では、条件付きアクセスポリシーの導入が最優先です。信頼できるデバイスと場所からのアクセスのみを許可し、リスクベースの認証を実装します。Microsoft 365やGoogle Workspaceなどのプラットフォームでは、企業が管理するデバイスからのみアクセスを許可し、さらにデバイスの健全性（最新のセキュリティパッチ適用、暗号化の有効化など）を確認する設定が可能です。

EDR（Endpoint Detection and Response）ソリューションの導入も重要です。エンドポイントでマルウェア感染が検出された際に、そのデバイスで使用されていた全てのセッションを自動的に無効化するインシデント対応プロセスを確立します。実際、マルウェア検出から30分以内にセッションを無効化できれば、トークンが盗まれても被害を大幅に軽減できます。

人的教育では、定期的なセキュリティトレーニングとフィッシング訓練が効果的です。特にAiTMフィッシングのような高度な攻撃では、URLのドメイン名確認の重要性を徹底的に教育する必要があります。また、疑わしいメールやリンクを見つけたら、ITセキュリティ部門に報告しやすい文化を作ることも重要です。

さらに、セキュリティログの監視体制を整え、異常なトークン使用パターン（短時間での地域間移動、通常とは異なる時間帯のアクセス、大量データダウンロードなど）を自動検出するSIEMシステムの導入が推奨されます。

トークンの寿命を短くすれば安全になりますか？

トークンの有効期限を短くすることは一定の効果がありますが、単独では完全な対策にはなりません。

確かに、トークンの有効期限を短くすれば、盗まれた場合の不正利用期間を制限できます。例えば、有効期限を1時間に設定すれば、盗まれたトークンは最大1時間しか使えません。しかし、この対策にはいくつかの問題があります。

まず、ユーザビリティが大きく低下します。有効期限が短すぎると、ユーザーは頻繁に再ログインを求められ、業務効率が落ちます。実際、多くの企業では生産性と安全性のバランスを取るため、1時間から8時間程度の有効期限を設定しています。

また、リフレッシュトークンの存在により、この対策の効果は限定的です。多くのシステムでは、アクセストークンとは別にリフレッシュトークンを発行し、自動的に新しいアクセストークンを取得します。リフレッシュトークンが盗まれれば、アクセストークンの有効期限が短くても継続的なアクセスが可能になります。

より効果的なのは、継続的アクセス評価（CAE）を組み合わせることです。これにより、有効期限内であってもリスクの高い行動（通常と異なる場所からのアクセスなど）が検出された時点で即座にトークンを無効化できます。トークンの有効期限を適度な長さに保ちながら、リアルタイムでリスクを評価して対応する方が、セキュリティとユーザビリティのバランスが取りやすいと言えます。