今年の1月、膨大なEメールとパスワードの組み合わせ情報が漏洩したというニュースが流れました。セキュリティ研究者のTroy Hunt(トロイ・ハント)氏は、自分のEメールが流出被害に遭っていないかどうかをユーザが確認できる彼の非常に便利なWebサイト「Have I Been Pwned」に、「Collection #1」と呼ばれるデータダンプから、7億7300万のユニークなEメールアドレスと2100万のユニークなパスワードをアップロード(英語)しました。
これは極めて膨大な数であり、Hunt氏にとってもこのサイトにアップロードした最大の数となりました。あなたにとってこの事件はどのような意味があるのでしょうか?
既視感?
InfosecのジャーナリストであるBrian Krebs(ブライアン・クレブス)氏が、「Collection#1」データをオンラインで販売している人と連絡を取りました(英語)。Krebs氏によると、その売り手は、45ドルで販売すると言い、販売したいデータは2〜3年前のもので、「膨大な数のハッキングされたサイト」からのものであると述べたそうです。
したがって、データは膨大ですが新しいものではありませんでした。しかし、Hunt氏によると、そのうちの1億4000万件のEメールアドレスは「Have I Been Pwned」サイトにとっては新たなものだとのことです。つまり、過去に流出されていたことが今になって分かったということです。今、自分の情報が流出したデータの中にあるかどうかを確認することができます(英語)。また、自分のパスワード(英語)がデータダンプの中に存在しているかどうかを調べることもできます。(もし存在が確認されたら直ちに使用を中止してください!)
この種のデータダンプは、一般にサイバー犯罪者の間で流通しています。それらは、クレデンシャルスタッフィング(Credential Stuffing)攻撃に悪用されます。これは、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃です。攻撃者は、これを迅速に行うために自動化されたツールを使用します。そしてKrebs氏の報告によると、流出した資格情報は、フィッシング、脅迫、およびその他の間接的な攻撃によってさらに効力を発揮します。
健全な習慣
過去のハッキングによるデータの流出にパニックを起こす必要はありませんが、これは、あなたのパスワードの衛生習慣をレベルアップする絶好の機会です。すなわち、常に指摘している以下の点を改めて実行してください。
各アカウントにユニークで強力なパスワードを使用する。ユニークであるとはアカウントごとに異なるパスワードを意味し、強力とは複雑で長いことを意味します。詳しくはここ(英語)を参照してください。
最も重要で機密性の高いアカウントには、2要素認証を使用する。この追加のステップにより、ハッカーがアカウントに侵入するためには、パスワードだけでなく、デバイスへの物理的なアクセスも必要になります。
今ではF-Secure TOTALの一部になったF-Secure KEYなどのパスワードマネージャを使用する。パスワードマネージャを使用すると、すべてのアカウントに対して、ユニークで長く強力なパスワードをスムーズかつ簡単に設定することができます。追記:また、F-Secure KEYは事後に重大なデータ侵害を発見するのではなく、プロアクティブに通知します。
パスワードを整理するには少し手間がかかりますが、安心感が得られるのでそれだけの価値があります。アカウントごとにユニークなパスワードを使用していて資格情報が漏洩した場合は、そのサービスのパスワードを変更するだけで済みます。同じパスワードを使用しているサービスをすべて覚えておくのに苦労するよりもはるかに簡単です。
新しい習慣を身に着けるには時間がかかり、ナーバスになることもあるので、まず小さく始めてもかまいません。F-Secure KEYをダウンロードして、毎日1件ずつアカウントを入力してください。所有しているアカウント数によりますが、数週間または数ヶ月のうちには、すべてのアカウントの処理が完了するはずです。年の初めに行うのがベストでしょう。
カテゴリ