何百万もの漏洩した認証情報がウェブ上に潜んでおり、サイバー犯罪者同士で様々なチャネルを通じて共有されていることが、サイバーセキュリティ企業Synthientによって明らかになりました。
Telegramチャンネル、フォーラム、ソーシャルメディアサイト、Torネットワークなど複数のプラットフォームからデータを集約することで、Synthientは1億8300万件のユニークなメールアドレスを含む大規模な漏洩認証情報データベースを作成しました。
同社が説明しているところによると、これらの認証情報のほとんどは主にTelegramで共有されており、情報窃取マルウェア感染が発端となっています。これらは組織へのハッキングによって流出したのではなく、ユーザーがマルウェアに感染することで流出しました。
このデータは、盗まれた情報の一次販売者、インフォスティーラーログを集めて自分のチャンネルで再投稿する集約者、そして一次販売者が使用するマルウェアを拡散する不正者からもたらされています。
敵対者のインフラをより深く理解することに注力し、Synthientは漏洩した全情報を収集・解析するシステムを構築し、そのデータをまとめて情報漏洩通知サービス「Have I Been Pwned」に送信しました。
3.5テラバイトのデータベースには、漏洩したメールアドレス、パスワード、認証情報が使用されたウェブサイトなど、230億行が含まれていたと、Have I Been Pwnedの管理者トロイ・ハント氏は説明しています。
Synthientが集約した認証情報のほとんどは、すでにHave I Been Pwnedのデータベースに存在していたと彼は指摘します。サービスに追加された過去の情報漏洩には含まれていなかったのはわずか9%ですが、それでも1640万件のメールアドレスという膨大な数です。
ハント氏はデータが本物であることを確認し、現在メールアドレスとそれが使用されたウェブサイトはHave I Been Pwnedで検索可能となっています。
またハント氏は、インフォスティーラーログに加え、Synthientのデータにはクレデンシャルスタッフィングリストも含まれていたことに言及しています。これらは通常、情報漏洩から収集され、様々なオンラインプラットフォームのアカウント乗っ取りに使用されます。
しかし、Synthientが収集したデータは単一の情報漏洩から発生したものではなく、ましてやGmailでのものでもありません。これは過去数日間、複数のニュースメディアの見出しで報じられ、Googleが強く反論するきっかけとなりました。
「『何百万人ものユーザーに影響を与えるGmailのセキュリティ侵害』という報道は誤りです。[…] 不正確な報道は、インフォスティーラーデータベースの誤解に起因しており、これらはウェブ上で日常的に発生している様々な認証情報窃取活動をまとめたものです。これは特定の個人、ツール、プラットフォームを狙った新たな攻撃を反映しているわけではありません」とGoogleはXで述べています。
認証情報の窃取に対する最善の防御策は、多要素認証(MFA)の利用と、パスワードよりも安全なパスキーへの切り替えだとGoogleは指摘しています。また、大量の認証情報漏洩が発覚した際には、速やかにパスワードをリセットするようユーザーに呼びかけています。
「毎年大量のパスワードが漏洩しているという事実は、MFAを有効化する大きな動機となるはずであり、特にメールアカウントなどアカウントのセキュリティ確保の重要性を考えるきっかけになるべきです」とKnowBe4のCISOアドバイザー、エリック・クロン氏は述べています。
