これまでで最大規模とされるデータ流出が確認されました。なんと、約160億件ものログイン情報(パスワードを含む)が流出したという、驚くべき事態が発生しています。
今年初めから進行中の調査の一環として、研究者達は、この膨大なパスワード漏洩が複数の情報窃取型マルウェア(インフォスティーラー)の仕業であると推測しています。
パスワード流出としては史上最大規模なのか?
パスワードの漏洩は決して軽視できるものではありません。
何故なら、パスワードが盗まれる事でアカウントが乗っ取られ、結果として、現代社会で大切にしている多くのものが危険に晒されるからです。
その為、Googleは数十億の利用者に対し、これまでのパスワードをより安全なパスキーに置き換えるよう推奨していますし、FBIもSMSメッセージ内のリンクをクリックしないよう警告しています。
盗まれたパスワードは闇市場で数百万件が、ほんの僅かな金額で売買されているのが現状です。
そして今回明らかになった新たな事実は、私達全員にとって非常に深刻な問題と言えるでしょう。
CybernewsのVilius Petkauskas氏によると、今年の初めから調査を続けてきた研究者達が、「それぞれ数千万から35億件以上の記録を含む30の公開データセット」を発見したとの事。
Petkauskas氏の確認によれば、流出した記録の総数は現在160億件に達しています。
この数字の大きさを是非実感して欲しいと思います。これらのログイン認証情報をまとめたデータベースは、これまでで最大規模と考えられる漏洩事件を構成しています。
「諜報機関やサイバー犯罪者達は、ダークウェブ上でこうしたリストを収集・利用しています」とDispersive社副社長のローレンス・ピングリー氏は語ります。
「リストは何度も再パッケージ化され、個別に販売される事も珍しくありません」。
ピングリー氏によれば、全データセットを精査し、重複を削除し、独立した漏洩データと比較しない限り、これは再パッケージ化されたものかどうか断定は難しいとの事です。
しかし、Cybernewsの研究者は新規データであると確信しています。
いずれにせよ、ピングリー氏が言うように「160億件という数字は非常に大きなもの」であり、こうした認証情報が「悪用されうる、そして実際に悪用されている」事が、その価値に繋がっています。
この160億件にも及ぶ漏洩データは、複数の超大規模データセットに格納されており、ソーシャルメディアやVPN、開発者ポータル、大手サービスベンダーのユーザーアカウントなど、数十億件のログイン認証情報を含んでいます。
特筆すべきは、この記事の冒頭で触れた1億8400万件のパスワードデータベースを除き、これらのデータセットはすべて過去に流出が報告されていなかった、新たなデータであるという点です。
「これは単なる情報漏洩ではなく、大規模な悪用の為の設計図です」と研究者達は述べています。
そして、彼らの指摘は正しいです。
これらの認証情報は、フィッシング攻撃やアカウント乗っ取りの出発点です。
「これは単なる過去の漏洩情報の再利用ではありません」と彼らは警告し、「これは新たに漏洩したパスワードで、大規模に悪用可能なインテリジェンスです」。
その情報の多くは、URL、その後にログイン情報とパスワードが続くフォーマットで整理されていました。
研究者は、「Apple、Facebook、GoogleからGitHub、Telegram、更に様々な政府サービスに至るまで、あらゆるオンラインサービスが標的になり得る」と述べています。
このような大規模な漏洩に直面して、強固なパスワード管理は不可欠すべてのパスワードデータベースが侵害や情報窃取マルウェアによるものとは限りませんが、今回言及されている160億件の「メガダンプ」はその一例と言えるでしょう。
特権アクセス管理プラットフォームKeeper SecurityのCEO兼共同創設者であるダレン・グッチオーネ氏は、このパスワード漏洩は「どれほど簡単に機密データが意図せずオンラインで公開されてしまうかを思い起こさせる絶好の例だ」と語りました。
その指摘は正にその通りで、これこそがより大規模なセキュリティ問題の氷山の一角かもしれません。
クラウド、特に設定ミスのあるクラウド環境に、どれだけ多くの認証情報(パスワードを含む)が放置されているか想像してみてください。
運が良ければ、それを見つけるのは責任を持って開示するセキュリティ研究者ですが、そうでなければ悪意ある攻撃者という事になります。
あなたならどちらに賭けますか?
「この認証情報が広く利用されている主要サービスのものである事実は、大きな影響を及ぼす」とグッチオーネ氏は述べており、消費者はパスワード管理ソリューションやダークウェブ監視ツールへの投資がこれまで以上に重要だと述べています。
後者は、パスワードがオンラインで流出した際にユーザーに警告し、パスワードを使い回していた場合は速やかに変更する行動を促す助けとなります。
勿論、組織も投資の必要から逃れられません。
彼らはゼロトラストセキュリティモデルの導入を検討すべきであり、「機密システムへのアクセスが、データがどこに存在していても、必ず認証・認可・記録される事でリスクを最小化する」必要があるとグッチオーネ氏は語っています。
Desired EffectのCEOで元NSA(米国家安全保障局)サイバーセキュリティ専門家のエヴァン・ドーンブッシュ氏は、「どんなに長く複雑なパスワードでも、それを格納しているデータベースが攻撃者に侵害されれば意味がない」と述べ、だからこそパスワードの衛生管理が不可欠だと強調しています。
「また同じパスワードを複数サイトで使い回してはいけない理由もそこにあります。1つのデータベースからパスワードを盗まれた場合、他でも同じものを使っていれば他のアカウントにも侵入される可能性があるのです。」
Approov社副社長のジョージ・マクレガー氏は、このような大規模漏洩は「最初のドミノ」であり、「連鎖的なサイバー攻撃や、個人・組織への大きな損害」に繋がると述べています。
今回の調査結果は「既に分かっていた事、つまりユーザーの認証情報が幅広く攻撃者に流出済みである事を改めて浮き彫りにしている」と締めくくりました。
MetaCertのCEOであるポール・ウォルシュ氏は「サイバーセキュリティは共有された責任である」との考え方に異を唱えています。
「そんなものはセキュリティベンダーの言い訳に過ぎません。彼らはまだフィッシング攻撃から顧客を守る方法が分からないのに、責任をユーザー側に押しつけ、ユーザーにセキュリティの専門家になる事を期待しているだけです」とX(旧Twitter)で発言しています。
セキュリティ提供者ですら見抜けない脅威を、ユーザーがどうやって防げるのでしょうか?これはウォルシュ氏が投げかける非常に合理的な疑問です。
彼はまた「ユーザー教育は効果がなく、ここ10年以上上手くいっていない」とも述べています。
もっとも、MetaCertはゼロトラストのURL認証を推進している企業であるため自身も利害関係者ではあります。
手遅れになる前に今回の漏洩を受けて、すべてのアカウントパスワードを変えるべきかはともかく、もし複数サービスで同じパスワードを使い回しているなら、今直ぐ変更する事を強く勧めます。
また今こそパスワードマネージャーの利用や、可能な限りパスキーへの移行を始める時です。
Dashlaneのセキュリティ専門家でありFIDOアライアンスの共同議長でもあるレウ・イスラム氏によれば、Dashlaneは「パスキー対応を最初に実現した認証情報マネージャー」であり、「テック業界全体がその流れに追随している事は非常に喜ばしい」と述べています。
最新ではFacebookがパスキー採用を発表しており、これはCybernewsの調査に照らしてもタイムリー。
「大規模なソーシャルプラットフォームも、今や方針転換を迫られている」とイスラム氏は述べ、「パスキーは“あればいい”のではなく、ユーザーを守る上で不可欠です」と語りました。
「変化に多少抵抗があるかもしれませんが、多くのユーザーは既に顔認証や指紋認証といった、知っていて使い慣れた要素に頼る意識の準備ができています」とイスラム氏は述べています。
今後、銀行からソーシャルメディア、中小企業まで、更に多くの企業がパスキーへの移行を進める事で、最も懐疑的な人々の間にも自信が生まれるでしょう。「今後3年間で、パスキーは世界中のインターネットユーザーの大多数に利用されるようになると私達は予想しています」とイスラム氏は結んでいます。
困った事にこの情報は日本ではほとんど報道されていません。