パスワードはいかにして悪の手に渡るのか

一般的に、パスワードは、無数のオンラインサービスで使用する最も一般的な認証方法にすぎません。しかしサイバー犯罪者にとって、パスワードは、はるかに価値があるものです。他人の生活、大切な仕事のツール、そして売りたい商品への近道なのです。パスワードを知ることで、犯罪者は、ユーザーのアカウント、データ、金銭、さらには身元まで入手できるだけではなく、オンライン上の友達や親戚、勤務先や経営する企業を攻撃するために被害に遭ったユーザーを利用します。こういった被害を防ぐためには、そもそも他人がどうやってユーザーのパスワードを入手するのかを理解する必要があります。

パスワードはどのようにしてサイバー犯罪者の手に渡るのか

パスワードが漏えいするときはユーザーが何らかのミスを犯している、というのは全くの誤解です。例えば、確認をせずにネットからファイルをダウンロードする、見知らぬ人から送信された文書を開く、怪しいWebサイトに認証情報を入力するといったミスです。これらは攻撃者がまさに望む標的の過ちですが、われわれが気づかないところでサイバー犯罪者がアカウントに不正アクセスする方法があります。

フィッシング

確かにこれはもっぱら人為的ミスに依存する、認証情報を大量入手する（英語でクレデンシャルハーベスティング）手法の一つです。無数のフィッシングメールが、毎日のように様々なフィッシングサイトに人々を誘導しています。自分は決してフィッシングに騙されることはない、と自負する方がいるかもしれませんが、ちょっとした気の緩みで被害に遭うことが多いものです。フィッシングは、インターネットが誕生した頃から存在しており、サイバー犯罪者は、これまで長い時間をかけて数多くのソーシャルエンジニアリングの手口や偽装した攻撃方法を編み出しています。専門家であっても、ぱっと見ただけでは本物かフィッシングメールかを区別できない場合があります。

マルウェア

認証情報を盗む方法として最も一般的なのは、マルウェアの使用です。当社の統計によりますと、アクティブなマルウェア大部分はスティーラー型トロイの木馬で、主な目的は、ユーザーがサイトやサービスにログインするのを待ち、入力されたパスワードをコピーしてマルウェアの作成者に送信することです。保護ソリューションが使用されていない環境であれば、トロイの木馬は検知されずに何年もパソコンに潜むことも可能です。ユーザーに気づかれるような悪事は働かず、隠れて仕事をするため、ユーザーはマルウェアに感染していることに気づきにくいのが特徴です。

パスワードを欲しがるマルウェアは、スティーラー型トロイの木馬だけではありません。サイバー犯罪者は時にサイトにWebスキマーを仕込んで、認証情報、名前、カード情報などユーザーが入力したすべてのデータを盗むこともあります。

第三者機関の情報漏えい

自分たちのコントロールの及ばないところで、パスワードが漏えいすることもあります。例えば、危険性の高いインターネットサービスを利用したことがある、あるいは、過去に顧客データを含むデータベースが漏えいした企業のクライアントである場合です。もちろん、サイバーセキュリティに真摯に取り組んでいる企業は、パスワードを保存しない、あるいは、パスワードを暗号化して保存しています。しかし、十分な対策が講じられているかをユーザーが確認することはできません。たとえばSuperVPNで発生した情報漏えいの事例においては、ユーザー2,100万人の個人情報とログイン情報が流出しました。

一方で、「パスワードを保存するのがビジネス」の企業もあります。そう、パスワード管理ツールであるLastPassの漏えいに関連する話です。2022年末、未知の脅威アクターが、一部の顧客データ（顧客のボールトのバックアップを含む）を保管したクラウドベースのストレージに不正アクセスしました。もちろんこれらのボールトは適切に暗号化されていました。また、LastPassは復号化キーを保管していないばかりか把握もしていませんでした。しかし、LastPassの顧客が、既に他の場所で漏えいしているパスワードでボールトをロックしていたとしたらどうでしょうか。安全ではないパスワードを再利用していたら、今ごろサイバー犯罪者は、顧客のアカウントにアクセスし、情報を窃取し放題の状態です。

初期アクセスブローカー

もう一つ盗まれた他人のパスワードを手に入れる方法をご紹介しましょう。それは、闇市場（ブラックマーケット）です。現代のサイバー犯罪者は、それぞれ専門分野を持って活動する傾向があります。パスワードを盗んだ者が、必ずしもそれを使うとは限りません。マーケットでまとめて売った方が儲かるからです。パスワードデータベースは、特にサイバー犯罪者が欲しがる商品です。いわばオールインワンであるからです。ユーザーは複数のプラットフォームで同じパスワードを使う傾向があり、大抵それらをすべて同じメールアドレスに紐づけています。この場合、サイバー犯罪者が一つのプラットフォームのパスワードを入手すれば、ゲーミングアカウントから私用メール、果てはアダルトサイトのアカウントまで、被害者が使用するあらゆるアカウントにもアクセスできてしまう可能性があります。

ハッカーフォーラムの広告: さまざまなゲームプラットフォームのユーザー名とパスワード28万件を「わずか」4,000ドルで販売

漏えいした企業データベースも（認証情報を含むかどうかは不明）同じくブラックマーケットで販売されています。この種のデータベースの価格は、データの量とその組織が属する業界によって異なりますが、中には数百ドルで販売されているパスワードデータベースもあります。

ダークネットの中には、漏えいしたパスワードとデータベースを集約し、そのコレクションへアクセスするための定期購読サービスプランやアクセスごとに支払うプランを提供しているサービスがあります。2022年10月、悪名高いランサムウェアグループのLockBitがヘルスケア企業をハッキングし、医療情報を含むユーザーデータベースを盗みました。グループは、ダークネットでこの情報のサブスクリプションを販売しただけではありません。おそらく同じブラックマーケットで初期アクセスに必要なデータを購入していました。

盗まれたデータを含むデータベースへの有料アクセスを提供するダークネットサービス

総当たり攻撃

サイバー犯罪者がユーザーのパスワードを見つけてアカウントをハッキングするのに、盗難されたデータベースすら必要としない例もあります。ここで使われるのが総当たり攻撃です。つまり、よくあるパスワードのバリエーションを、ヒットするまで数千でも数万でも片っ端から試すのです。うまくいきそうにないと思われるでしょう。しかし、可能な組み合わせをすべて反復入力する必要はありません。標的の個人情報に基づいて、使われていそうな一般的なパスワードのリストを生成できるツール（Wordlist Generator）があるからです。

この種のプログラムは、犠牲者に関するミニアンケートのような形式になっています。名前、生年月日に加えて、配偶者や子どもの個人情報、さらにはペットの情報についての質問があります。攻撃者は、標的についてわかっている他のキーワードを材料に加えることができる場合もあります。このような情報を材料として使い、Wordlist Generatorが数千ものパスワードのバリエーションを作成します。攻撃者はこれを使ってログインを試みます。

ターゲットについてわかっている情報に基づいて、総当たり攻撃用のパスワードリストを生成できるサービス

このような方法を使うために、サイバー犯罪者は、まずリサーチを行う必要があります。この段階で、漏えいしたデータベースが役に立ちます。そこには、生年月日、住所、「秘密の質問」の答えなどの情報が含まれている場合があるからです。もう1つの情報源となるのがソーシャルネットワークでの過剰なシェアです。「今日は大好きなワンちゃんの誕生日」というキャプションを付けた12月6日の写真など、まったく取るに足らないようなものがこれに当たります。

漏えいまたは総当たり攻撃でパスワードが流出した場合に起こり得る結末

想像しやすい結末としては、サイバー犯罪者がアカウントを乗っ取って身代金を要求する、ユーザーのアカウントを使って連絡先やオンライン上の友達をだます、金融機関のサイト、またはアプリのパスワードを入手したサイバー犯罪者が口座を空にする、といったことがあります。しかし、パスワードの使用意図が不透明な場合もあります。

例えば、ゲーム内通貨やマイクロトランザクションを導入しているゲームの増加に伴い、支払方法をアカウントにリンクするユーザーが増えています。これにより、ハッカーは、標的としてゲーマーに関心を持つようになっています。ゲーミングアカウントにアクセスできれば、スキン、レアアイテム、ゲーム内通貨など価値のあるものを盗んだり、被害者のクレジットカード情報を悪用したりすることが可能になります。

漏えいしたデータベースや、標的のアカウントを検索する中で収集された情報は、金銭を得るためだけではなく、イメージ悪化や、ドキシングを含むその他の種類の社会的な損害を与える目的にも使用できます。著名人の場合は、恐喝され、（イメージ悪化につながりかねない）個人情報を公開すると脅され、金の支払いを要求される可能性があります。

著名人でなくても、ドキシングの被害に遭う可能性があります。ドキシングとは、他人の身元情報（本名、住所、勤務先、電話番号、銀行口座、その他の個人情報）をオンライン上で晒す行為を指します。ドキシング攻撃は、対象者の名前で無数のメーリングリストにサインアップしたりピザの配達を注文したりといった、些細な嫌がらせから、ネットいじめ、なりすまし、さらには現実の世界でのストーカー行為など、実際に身の危険を感じる状況に発展するケースまであります。

最後に、個人用アカウントと仕事用アカウントに同じパスワードを使っている人がいれば、サイバー犯罪者は仕事用のメールを乗っ取り、それをビジネスメール詐欺、さらには標的型攻撃に悪用する可能性があります。

不正アクセスからアカウントを守る方法

第一に、パスワード設定について基本的なセキュリティのルールを再確認しましょう。

• 同じパスワードを複数のアカウントで使用しない
• 長く、強力なパスワードを設定する
• パスワードを安全に保管する
• パスワードが漏えいしたことを知らされた場合、すぐにパスワードを変更する

当社のパスワードマネージャーは、上記のタスクすべてをサポートします。これは、当社の中小企業および個人のお客様向けのセキュリティ保護製品に含まれています。

その他のアドバイスは下記のとおりです。

1. 可能な限り、二要素認証を有効にする。ハッカーによるアカウント不正アクセスの被害を受ける可能性が低くなります。これは、既にハッカーにログイン名とパスワードを盗まれている場合にも有効です。
2. SNSで投稿を目にする人を制限するために、プライバシー設定を見直す。あなたのプライべートな情報を見つけるのが難しくなればなるほど、総当たり的な攻撃による被害を受けるリスクは下がります。

友達のみにSNSの投稿を公開している場合であっても個人情報の過剰なシェアをやめる