自称専門家や主流メディアは、160億以上の資格情報が流出したという巨大なデータ漏洩の報告に過剰反応している。しかし、元の報告には、そのセンセーショナルな主張を裏付ける実際の証拠に類するものがほとんどないという不都合な事実がある。
数十億のアカウントに影響を与える攻撃は、しばしば見出しを飾り、業界がその攻撃の再発を防ぐ方法について話し合うきっかけとなる。しかし、Cybernewsが金曜日に公開したストーリーは、過去数日間に様々なメディアで取り上げられ、繰り返し報道されているが、その驚異的で疑わしい結論に対してサイバーセキュリティ専門家からは冷ややかな反応を受けている。
大量のコンテンツは、流出した資格情報を最近の、単一の、そして最終的には史上最大のデータ漏洩として描いている。CyberScoopと話した複数のインシデント対応専門家、研究者、サイバーセキュリティ専門家は、その主張を完全に否定するか、またはその主張の基礎となるデータと分析に疑問を呈した。
「これらの大規模なダンプは何年も前から発表されており、常に新しいものが少しだけ混ざったリサイクルされた資格情報の山です」とSophosのディレクターでグローバルフィールドCISOのChester Wisniewskiは述べた。
この一連の出来事は、サイバーセキュリティのビジネス利益が恐怖に基づいていることを示すもう一つの例である。こうしたストーリーは、業界全体に広がっている実際の問題や認識に訴えるため、しばしば野火のように広がる。
金曜日のストーリーの詳細が誇張されているとしても、資格情報の盗難は現実であり、常に存在する脅威である。Verizonによれば、資格情報の悪用は昨年の侵害の最初のアクセスベクトルのトップだった。Flashpointは3月の報告で、情報スティーラーが昨年21億の資格情報を盗むために使用され、全組織から盗まれた32億の資格情報のほぼ3分の2を占めたと述べた。
しかし、Cybernewsと資格情報漏洩を「発見」したとされるBob Diachenkoによって提供された限られた証拠 — たった3つのスクリーンショット — は重要な問題点である。コメントを求められたDiachenkoは、データは年初から発見された累積的な記録であり、単一のデータ漏洩を反映したものではないと認めた。
「私たちのCTIソースのどれも、これが新しいものであることを確認できなかった」とSANS InstituteのリサーチチーフでありファカルティヘッドのRob Leeは述べた。「研究者が調べるための生ファイルや確認されたフィードはない」とも述べた。
「インテリジェンスの世界では、誇張は許されない」と彼は言った。SANSは報告を完全に無効にしているわけではないが、Leeは「これは嗅覚テストを通過しない」と指摘した。
サイバー脅威インテリジェンスは、業界全体で広く共有される深い情報に依存している。実行可能でないデータや結論は、コミュニティが前進するのに役立たないとLeeは述べた。
他の専門家も同様の意見を持っていた。
「私たちが見ているのは、大手テクノロジー企業での単一の、見出しを飾るような漏洩ではない。約160億の資格情報のキャッシュは、30の別々のデータベース、数年間にわたって集められたスティーラーログを反映している — 多くの重複があり、その多くは古い」とRapid7の脅威分析シニアディレクターのChristiaan Beekは述べた。
その結果は「恐怖を生むために再利用され、膨らまされたデータセット」であるとBeekは述べた。「情報スティーラーマルウェアは常に資格情報を収集し続けており、これらの集約されたダンプは様々なフォーラムやプラットフォームで再利用され、再発行される。」
データセットに含まれるものの影響は、Beekが「恐怖セット」と表現したもののどの部分が新しいか、または使用されたかに依存する。
Recorded Futureの脅威インテリジェンスアナリストであるAllan Liskaも同じ結論を出した。「公開されたサンプルデータを以前の資格情報漏洩と比較することで、これらの資格情報のほとんど、あるいはすべてが以前に公開されたパスワードダンプからのものであることがわかる。中には何年も前のものもある」と彼は述べた。
「漏洩のフォーマットを考えると、これらはすべて以前の情報スティーラーキャンペーンからのものである可能性が高い。これらのパスワードは、数百の異なるキャンペーンから収集されたものであり、単一のキャンペーンに結びついているわけではない」とLiskaは述べた。
誇張は無関心を生む
現実で否定できない問題が蔓延する業界において、専門家は誤報や誇張が害を及ぼす可能性があると警告した。少なくとも、それは確認された攻撃から注意をそらすか、または引き離す。
「オオカミが来たと叫ぶことは無関心を招く」とWisniewskiは述べた。
Liskaは「このような見出しが部屋の酸素をすべて奪うと、本当のセキュリティストーリーが必要な注目を集めるのが難しくなる」と述べた。
「このことから学ぶべき本当の教訓は、情報スティーラーマルウェアの蔓延と、人々や組織がこの種のマルウェアからどのように保護すべきかである」と彼は続けた。「誰かが基本的にテーブルスクラップから160億の記録をまとめることができたという事実は、その問題の大きさを示している。」
報告の結果は疑わしいが、ほとんどの資格情報がすでに何らかの形で盗まれていると仮定するのは無理なことではない。パスワードは長い間目的に適しておらず、このようなストーリーは多要素認証やパスワードレス認証方法の重要性を強調している。
「オンラインの衛生に対する一般の関心を集めることができるときは、機会を逃すべきではない」とWisniewskiは述べた。「人々はそれが自分には起こらない、または起こっていないと思い込んでおり、これらのストーリーはそれが私たち全員に起こっていることを強調し、行動が必要であることを示している。」
急ぎすぎたコミュニケーションの罠
状況をさらに悪化させたのは、多くのサイバーセキュリティ企業がこのストーリーを自社製品のマーケティングの機会やニュースサイクルに経営陣のコメントを挿入する機会として利用したことだ。過去数日間で数十の企業がCyberScoopにこのストーリーについてコメントを求め、内部でのさらなる調査や第三者の専門家による検証を待たずに事実として受け入れた。
パスワードマネージャーのKeeper Securityは、LinkedInに「史上最大のパスワード漏洩」として「確認された」と述べ、GoogleやAppleを含む主要なテクノロジープラットフォームから16億の資格情報が流出したという主張を繰り返すコメントを投稿した。
Keeper Securityは、十分な情報がない限り、攻撃の詳細についてコメントしないという方針を持っており、そのコメントを支持している。
Googleのスポークスパーソンは、問題はデータ漏洩に起因するものではないとCyberScoopに語った。Appleはコメントの要請に応じなかった。
特にセキュリティにおけるコミュニケーションは「FUD(恐怖、不確実性、疑念)と救急車の追跡によって駆動されており、それがこのストーリーで見られるものだ」とEderaのCMOであるKaylin TrychonはCyberScoopに語った。
「この分野では、特に情報とその検証が非常に重要な分野では、できるだけ多くの専門知識を持つ必要がある」と彼女は述べた。「コミュニケーション担当者として、いつノーと言うべきか、いつこれは私たちの戦いではないと言うべきか、いつこれは今私たちが活用すべき瞬間ではないと言うべきかを知ることは非常に重要な仕事だ。」
大規模なコミュニケーションの問題について話すとき — 特定の企業や経営陣の反応ではなく — Trychonは、侵入やデータ漏洩においては詳細がすべてであると述べた。あまりにも早くコメントする人々は、間違っているリスクを負い、それが彼らの専門家としての地位に影響を与える可能性があるとTrychonは述べた。
「名前が出る可能性があるからといって、会社のブランドが出る可能性があるからといって、間違っている場合にはそれだけの価値がない」と彼女は述べた。「何も言わなくてもよかったし、時には何も言わないことができる最善のことだ。」
翻訳元: https://cyberscoop.com/colossal-data-breach-16-billion-credentials-no-evidence-media-exaggeration/