8月5日(火)の午後、ニューヨーク・タイムズは、ロシア人ハッカーグループがユーザー名とパスワードの組み合わせ12億件と、電子メールアドレス5億件以上を保持していることを明らかにしました。CyberVorという名前で活動するこのハッカーグループは、盗まれたアカウント認証情報データベースとしては明らかに世界最大規模のものを保持しており、最も複雑な手口を使用するプロのハッカー集団の1つと見られています。
この発見からいくつかのことが読み取れます。第一に、多くの人々が複数のWebサイトで認証情報を再利用していること。第二に、小規模なブログからフォーチュン500社まで、インターネット上の多くのWebサイトが、ハッカーによる基本的な攻撃に対して今も脆弱であること。そして第三に(第一とも関連して)、ハッカーは1つのアカウントを盗むだけで、ユーザーの情報のほぼすべてを手に入れられるということです。
セキュリティ会社のHold Security(ウィスコンシン州 ミルウォーキー)が、このハッキングオペレーションのデータベースを発見しました。ニューヨーク・タイムズは、Hold Securityのデータベースのコピーの分析を独立の第三者に依頼して、それが本物であることを確認しました。これまでのところ、Hold Securityは、非開示契約に従って、ハッカーグループの被害にあったWebサイトや被害者の名前の公表を拒否しています。
では、どうすれば、12億件ものアカウント認証情報を入手できるのでしょうか。さまざまな方法がありますが、3つの方法に要約できます。ボットネット、SQLインジェクション、および商取引です。まず、SQLインジェクションから見ていきましょう。
SQLインジェクションは、Webサイトの弱点を利用してユーザーデータを捕捉するタイプの攻撃です。よく知られた攻撃であり、10年以上前から、ハッカーもセキュリティの専門家も使用してきました。SQLインジェクションは新しいものではありませんが、主に、多くのWebサイトが自身の脆弱性を認識していないという理由から、いまだに効果的です。また、SQLインジェクションは自動化が可能であり、大規模な自動操作ができるということも理由として挙げられます。この場合、ハッカー組織は、もう1つの主要要素であるボットネットを使用して、SQLインジェクションに脆弱なWebサイトを探します。
ボットネットは、一般に、被害者をだまして、悪意あるソフトウェア(マルウェアと呼ばれます)をダウンロードさせるリンク、電子メール、およびポップアップ広告を介して拡散されます。これによってハッカーは被害者のコンピューターを制御できるようになり、被害者のコンピューターは、同じようにハックされたコンピューターのネットワークに加えられ、ボットネットを形成します。ハッカーの目的に応じて、ボットネットは、スパムの拡散やサイトの攻撃、SQLインジェクションのフィードなど、さまざまな悪意ある目的に利用されます。
最後の重要な点は、商取引です。商取引は、とても地味ですが、現代のハッカーを表す非常に一般的で現実的な表現です。何といっても、漏えいアカウントのデータベースを二束三文で即座に購入できる(または、その所有者とパートナーになれる)のに、わざわざ苦労してハッキングする必要があるでしょうか。ニューヨーク・タイムズによると、これはCyberVorの行為にも当てはまるようです。
世界最大の盗難認証情報の収集は、大掛かりなハッキングオペレーションによるものではなく、さまざまなハッカーグループの連合によるものだったのです。また、これは、プロのハッカーについて知っておく必要がある事実でもあります。つまり、彼らは映画で描かれるジェームズ・ボンド並みの冒険者ではなく、試行錯誤を繰り返しながら表計算ソフトを操作している者たちだということです。
では、CyberVorは、これほど多くの認証情報で何をしようとしているのでしょうか。何でも好きなことができます(または、ニューヨーク・タイムズがレポートを公表するまでは、何でもできたと言うべきでしょうか)。機密WebサイトからID盗難目的でデータを抜き取ることから、銀行口座からお金を盗んだり、ギフトカードを購入して自分で使用したり、単により多くのスパムを送信することまで、さまざまなことができます。また、CyberVorは最後の選択肢として、クライアントが(そう、彼らにはクライアントがいるのです)より多くのウイルスを拡散したり、より多くの人々から盗めるように、より多くのスパムを広めることもできます。
では、心配すべきでしょうか。同じ電子メールアドレスとパスワードを複数のサイトで使用している場合は、もちろん、非常に心配すべきです。
では、同じユーザー名とパスワードを複数のサイトで使用しているとしましょう。その場合、どうしたらよいでしょうか。幸いなことに、わずかなステップでこの状況を是正できます。
- すべてのパスワードを変更する。(やってはいけないことですが)複数のサイトで同じログイン認証情報を使用している場合は、今すぐパスワードを変更してください。それぞれのログインは一意であるべきであり、6~8文字の長さでなければならず、小文字と大文字、数字と記号を含むべきです。パスワードを覚えられない場合は、安全性を高めるために、パスフレーズの使用を検討してください。パスフレーズは、一連のランダムな語句の間に数字を挟んだものです。さらに、パスワードマネージャーを使用すると、すべてのパスワードを簡単に管理できます。
- 可能なときには、2要素認証を使用する。2要素認証は、ログインのために2つの要素が必要なセキュリティ機能です。1つは、パスワードのように、ユーザーが知っていることであり、もう1つは、電話のように、ユーザーが所有しているものです。アカウントにログインするには、テキストで送信されるコードを入力する必要があります。やや煩雑かもしれませんが、実装方法によっては非常に安全です。
- 銀行口座取引明細書に目を通す。これらのハッカーが特定の銀行口座に直接アクセスできるという証拠はありませんが、念のために、銀行口座取引明細書に目を通すことが賢明です。何かおかしな点があった場合は、すぐに銀行に連絡してください。
- コンピューターを包括的なセキュリティで保護する。セキュリティに気を使っている人でも、セキュリティを破られることはあります。これは、残念なことに、Webを日常的に使用する生活においては自明の理です。McAfee LiveSafe™(マカフィー リブセーフ)サービスなどの包括的なセキュリティスイートは、コンピューターへの侵入路を見つけようとするマルウェアを検出して、削除します。パスワードマネージャーも付属するので、すべてのログインを記憶する必要がありません。
※本ページの内容はMcAfee Blogの抄訳です。
原文: Russian Hackers Steal 1.2 Billion Passwords
著者: Gary Davis (Chief Consumer Security Evangelist)
