組織の認証情報が漏洩した場合、その即時的な影響はほとんど目に見えませんが、長期的な影響は広範囲に及びます。フィクションで描かれるような隠密な手口とは異なり、現実世界の多くのサイバー侵害は、一見単純に見える「ユーザー名とパスワード」から始まります。
Verizonの2025年データ侵害調査レポートによると、2024年の侵害の22%が漏洩した認証情報によるもので、フィッシングやソフトウェアの脆弱性悪用を上回りました。つまり、全インシデントのほぼ4分の1が、ゼロデイや高度な持続的脅威ではなく、正面玄関からのログインによって引き起こされているのです。
この静かで持続的な脅威は拡大し続けています。Cyberint(最近Check Pointに買収された外部リスク管理・脅威インテリジェンス企業)がまとめた新たなデータによると、2025年には漏洩認証情報が前年に比べて160%増加しています。「漏洩認証情報の増加」と題されたこのレポートは、漏洩の件数だけでなく、それらがどのように悪用されているか、組織が先手を打つために何ができるかを示しています。リスク低減を担う方は、ぜひ全文を読む価値があります。
自動化とアクセス容易性が後押しする急増#
漏洩認証情報の増加は、単なる件数の問題ではありません。スピードとアクセスのしやすさも関係しています。Cyberintは、ある1か月だけで、パスワードポリシーが依然有効な組織に紐づく1万4,000件以上の企業認証情報の漏洩を特定しました。これは、実際に使用中であり、現実的な脅威となる可能性を示唆しています。
自動化によって認証情報の窃取は容易になりました。インフォスティーラーマルウェアはサービスとして販売されており、スキルの低い攻撃者でもブラウザやメモリからログインデータを収集できます。AI生成のフィッシングキャンペーンは、口調や言語、ブランドを驚くほど正確に模倣します。収集された認証情報は、アンダーグラウンドのマーケットプレイスで販売されたり、Telegramチャンネルや違法フォーラムでまとめて提供されたりします。
電子書籍で述べられているように、GitHubリポジトリ経由で漏洩した認証情報の修復にかかる平均日数は94日です。つまり、攻撃者が気付かれずにアクセスを悪用できる3か月間のウィンドウが存在します。
認証情報が攻撃者の通貨になる仕組み#
漏洩した認証情報は攻撃者にとって「通貨」であり、その価値は単なる初回ログインにとどまりません。一度手に入れれば、さまざまな悪意ある活動のベクトルとなります:
- アカウント乗っ取り(ATO): 攻撃者はユーザーのアカウントにログインし、正規の送信元からフィッシングメールを送信したり、データを改ざんしたり、金融詐欺を仕掛けたりします。
- クレデンシャル・スタッフィング: ユーザーが複数サービスでパスワードを使い回している場合、1つのアカウントの侵害が連鎖的に他のアカウントにも波及します。
- スパム配信やボットネットワーク: メールやSNSアカウントが偽情報やスパムキャンペーン、プロモーション悪用の発信源となります。
- 恐喝・ゆすり: 一部の攻撃者は被害者に連絡し、支払いを要求して認証情報の暴露をちらつかせます。パスワードは変更できても、侵害の範囲が不明な場合、被害者はパニックに陥りがちです。
下流への影響は必ずしも明白ではありません。たとえば、個人のGmailアカウントが侵害されると、攻撃者は企業サービスのリカバリーメールにアクセスできたり、機密添付ファイルを含む共有リンクを発見したりする可能性があります。
他者が見落とすものを見抜く#
現在Check Pointの一部となったCyberintは、自動収集システムとAIエージェントを用いて、オープン・ディープ・ダークウェブ全体の多様な情報源を監視しています。これらのシステムは、漏洩認証情報を大規模に検出し、ドメインパターンやパスワードの使い回し、組織メタデータなどの詳細を関連付けて、匿名で投稿されたり他とまとめられたりした認証情報の漏洩も特定します。アラートには迅速なトリアージを支援するコンテキストが付与され、SIEMやSOARプラットフォームとの連携により、認証情報の無効化やパスワードリセットの強制など即時対応が可能です。
その後、Cyberintのアナリストが介入します。彼らはクローズドフォーラムでのターゲット調査を行い、脅威アクターの主張の信憑性を評価し、アイデンティティや属性の手がかりをつなぎ合わせます。機械による広範なカバレッジと、地下コミュニティへの直接アクセスを組み合わせることで、Cyberintは規模と精度の両立を実現し、漏洩認証情報が実際に悪用される前に対策を講じることができます。
認証情報の漏洩は、監視対象の業務用端末だけで発生するわけではありません。Cyberintのデータによれば、企業認証情報の漏洩に関連するデバイスの46%はエンドポイント監視で保護されていませんでした。これには、従業員が業務アプリケーションにアクセスする個人用ノートPCや管理外デバイスも含まれ、多くのチームにとって死角となり得ます。
Cyberintの脅威検出スタックはSIEMやSOARツールと統合されており、侵害が特定された瞬間にアクセス権の剥奪やパスワードリセットの強制といった自動対応を可能にします。これにより、検出から対応までのギャップが埋まり、時間が勝負となる場面で重要な役割を果たします。
完全なレポートでは、これらのプロセスがどのように機能し、組織がチーム横断でこのインテリジェンスを運用化できるかをさらに詳しく解説しています。詳細はこちらから全文をお読みいただけます。
漏洩検知は競争優位性に#
安全なパスワードポリシーやMFA、最新のメールフィルタリングを導入していても、認証情報の窃取リスクは統計的に避けられません。組織の差は、漏洩をどれだけ早く検知できるか、修復ワークフローがどれだけ緊密に連携しているかにあります。
電子書籍で紹介されている2つのプレイブックは、従業員とサードパーティベンダーの認証情報それぞれに対し、効果的な対応方法を示しています。各プレイブックは、検知、発生源の検証、アクセス権の剥奪、関係者への連絡、事後レビューの手順をまとめています。
しかし最も重要なポイントは、「能動的な発見が受動的なフォレンジックよりも重要である」ということです。脅威アクターの動きを待ってから対応するのでは、滞留時間が延び、被害範囲が拡大します。
地下フォーラムに認証情報が出回ってからパッケージ化・自動攻撃に悪用される前に特定できるかどうかが、成功する防御と後手の復旧の分かれ目です。
自社の認証情報がディープウェブやダークウェブに流出していないか気になる場合、推測する必要はありません。実際に確認できます。
対策は「予防」だけではない#
単一のコントロールで認証情報漏洩リスクを完全に排除することはできませんが、複数のレイヤーで影響を軽減できます:
- 強固なパスワードポリシー: 定期的なパスワード変更と、複数プラットフォームでの使い回し禁止を徹底する。
- SSOとMFA: パスワード以外の障壁を追加する。基本的なMFAでもクレデンシャル・スタッフィングの効果は大幅に低下します。
- レートリミット: ログイン試行回数の上限を設け、ブルートフォースやクレデンシャルスプレー攻撃を妨害する。
- PoLP(最小権限の原則): ユーザーアクセスを必要最小限に制限し、アカウント侵害時の被害拡大を防ぐ。
- フィッシング対策教育: ソーシャルエンジニアリング手法についてユーザーを教育し、初期漏洩を減らす。
- 漏洩監視: フォーラム、マーケットプレイス、ペーストサイトなどで企業認証情報の言及を検知する仕組みを導入する。
これらのコントロールはそれぞれ有効ですが、たとえ組み合わせても、漏洩が数週間・数か月気付かれなければ不十分です。そこでCyberintの検出インテリジェンスが役立ちます。
完全なレポートを読むことで、さらに多くの対策方法を学べます。
次のパスワードが盗まれる前に#
自社ドメインに関連するアカウントが漏洩するかどうかは問題ではありません——すでに漏洩しています。本当の問題は「それが発見されたかどうか」です。
現在、アクティブなアカウントに紐づく数千件の認証情報が、マーケットプレイスやフォーラム、Telegramチャットでやり取りされています。その多くは、今も企業リソースにアクセスできるユーザーのものです。中にはデバイス種別やセッションクッキー、VPN認証情報などのメタデータが添付されているものもあります。一度共有されれば、情報は瞬く間に拡散し、回収不能となります。
悪用される前に漏洩を特定することは、防御側が持つ数少ない有効なアドバンテージの一つです。そして、それは「どこを探すべきか」を知ることから始まります。
脅威インテリジェンスは、特に漏洩認証情報の検出と対応において中心的な役割を果たします。犯罪ネットワーク間で広く流通する認証情報には、集中的な監視と明確な対策プロセスが不可欠です。
自社の認証情報がオープン・ディープ・ダークウェブで漏洩していないか確認しましょう。 早期発見できれば、後の対応件数も減らせます。
翻訳元: https://thehackernews.com/2025/08/leaked-credentials-up-160-what.html