当該データは確認済みのGmailログイン認証情報を含む「スティーラーログ」(情報窃取マルウェアのログ)と「クレデンシャルスタッフィング(認証情報使い回し攻撃)用リスト」の双方で構成されている
- 新たに1億8300万件のパスワード情報が流出し、Gmail認証情報も含まれる
- データは情報窃取マルウェアによるスティーラーログ等が主で、8%は新規データ
- 影響確認にはHIBPを利用し、該当する場合はパスワードを即座に変更すべき
認証情報の使い回しが横行している現実が一番の問題ですね。
ニュース解説
今回のニュースは、セキュリティ対策における「現実との乖離」を痛感させられますね。1.8億件という途方もない規模のデータ流出が新たに確認されましたが、この種の事案の多くは「スティーラーログ」、つまり情報窃取型マルウェアによってPCから直接盗み出された情報を含んでいます。これは、鍵のかかった金庫(サーバー)からデータが盗まれたのではなく、ユーザーの家の玄関先で直接鍵(パスワード)を奪われた状況に近いわけです。特に問題なのは、サイバー犯罪の世界では認証情報の「使い回し」が横行していること。この古い鍵を他のサービスでも使っていると、クレデンシャルスタッフィング攻撃(認証情報使い回し攻撃)によって、芋づる式に全てのアカウントが乗っ取られるリスクがあります。
ネットの声
「Gmailが悪い」とか「面倒くさい」とか、また基本的な対策を棚に上げたコメントが多いんでしょうねぇ。本質は使い回しにあるんですが。
1.8億件流出って。もうパスワードなんてやめて、全部パスキーに移行しろってことですよね。
スティーラーログに含まれるってことは、自分のPCがマルウェアにやられてたってことか。ゾッとする。
HIBPって無料だけど、メアド入れて大丈夫なの?誰か詳しい人教えて。
Gmailのパスワードが正確だったと検証された人がいるの、リアルすぎて怖い。
結局、パスワード管理アプリ使わない人が悪い、っていう結論になる。
使い回しは避けるべき、って言われても、何十個も覚えられるわけないだろ!
残りの8%、1400万件超が新しい認証情報って、これは無視できない数字だ。
クレデンシャルスタッフィング、日本の企業も真剣に多要素認証導入すべきでしょ。
パスワードは定期的に変えなくていいって話はどこ行ったんだよ!混乱する。
自分のメアドが流出リストにあったら、すぐに全てのアカウントをチェックしないと。
またGmailか。AppleやFacebookのデータ漏洩の話も前報じてたよね。キリがないな。
3.5テラバイト、230億行って、データの規模が桁違いすぎて想像できないわ。
古いデータも多いみたいだけど、それでも確認はマストだよね。
インフォスティーラー(情報窃取型マルウェア)対策の基本を見直す時期だ。
こんな状況でパスワード認証に頼り続けるのは、もう限界があると思うわ。
流出リストの多くが既知のものだという事実は、対策が進まないIT業界の哀しさを表しています。
コメント