AppleやGoogle、主要SNSの認証情報も含まれる
サイバーセキュリティ企業サイバーニュース(Cybernews)の研究チームが、今年に入って160億件以上のログイン認証情報が流出していたことを6月19日に発表した。これは過去最大規模のデータ漏洩の一つと見られている。
流出した情報には、URL、ログインID、パスワード、セッショントークン、クッキー、メタデータなどが含まれており、情報源には、マルウェアによる情報窃取ツールの詳細、クレデンシャルスタッフィング(漏洩パスワードの大量突き合わせ)のセット、再パッケージ化された漏洩データが混在しているという。
研究者によれば、このような大規模データセットは数週間おきに新たに発見されているとのことで、インフォスティーラーマルウェア(ログイン情報や機密データを盗むことに特化したマルウェア)の急速な蔓延に強い懸念を示している。
特に今回流出が確認されたデータには、アップル(Apple)、フェイスブック(Facebook)、グーグル(Google)、ギットハブ(GitHub)、テレグラム(Telegram)、各国の政府サービスに関する認証情報も含まれており、「ほぼすべての主要オンラインサービスへのアクセスが可能になる危険性がある」と指摘されている。
研究者はこれらの流出情報が、フィッシングキャンペーン、アカウント乗っ取り、ランサムウェア侵入、ビジネスメール詐欺(BEC)などのサイバー攻撃の燃料になると警告している。
また、漏洩したデータには、古いログと最新のログが混在しており、特に多要素認証(MFA)やセッション管理が甘い組織やユーザーにとって深刻なリスクとなる。
一部のデータセットは短時間のみオンラインで公開されていたが、未保護のElasticsearchインスタンスやオブジェクトストレージを通じて一時的にアクセス可能な状態だったという。研究者が発見に成功したが、データを制御していた人物は特定されておらず、流出元は依然不明のままだ。
なかでも最大規模のデータセットはポルトガル語圏のユーザー関連のもので、35億件超の記録を含んでいた。全体的に見ると、1つのデータセットあたり平均5億5,000万件の資格情報が含まれていたという。
今回の漏洩データのすべてがサイバー犯罪者によるものとは断定されていないが、一部は確実に犯罪者の手にあったと見られている。
集約されたデータは、身分盗用、フィッシング詐欺、不正アクセスなど、多様な攻撃を拡大する手段となるため、サイバー犯罪者は大規模なデータセットを好むという。
たとえ成功率が1%未満でも、数百万人の個人にアクセスできる可能性があり、金融口座などの機密情報漏洩のリスクがある。
加えて、漏洩したデータセットの所有者が不明なため、ユーザーが自身を保護するための対策がほとんどなされないことも研究者は懸念している。
研究者は、サイバー衛生(cyber hygiene)の徹底を改めて呼びかけた。
具体的には、強力かつ定期的に変更されるパスワードを使うこと、PCや端末内にインフォスティーラーが潜んでいないかの確認が大切だと述べている。
参考:Cybernews
画像:iStocks/koyu