5月中旬、セキュリティ研究者が1億8400万件のパスワードを含む暗号化されていないデータベースを発見したと発表しました。あるウェブサイトでホストされていたこれらのエントリには、Google、Microsoft、Facebook、Appleといった主要サービスのパスワードが含まれていました。さらに、銀行や政府機関のサービスにも及んでいました。
47GBもの巨大なデータベースは、ウェブサイトのホストに報告された後、現在オフラインになっています。しかし、その存在は依然として無視できない2つの危険を示唆しています。それが、この報告がテクノロジーサイトや主要メディアで長らく話題になっている理由です。
まず、このデータは、マルウェアの一種であるインフォスティーラーによってユーザーから直接盗まれた可能性が高いです。この怪しいソフトウェアは、PCやスマートフォンにいくつかの方法で出現します。日常生活に深刻な被害をもたらす可能性があるにもかかわらず、現在はあまり議論されていない攻撃手法です。
第二に、影響を受けたアカウントは依然として乗っ取りや不正利用の危険にさらされています。その結果、アカウントのロックアウト、機密データの漏洩(例:税務情報や機密事業計画)、現金の盗難などが発生する可能性があります。
自分を守る方法は次のとおりです。
インフォスティーラーは簡単に回避できるマルウェアです
Shutterstock.com / ソーラーセブン
インフォスティーラーとは、PCに保存されているデータや入力されたデータをコピーし、攻撃者に送信するソフトウェアです。パスワードもこれに含まれます。ハッカーは、ログイン認証情報、Cookie、暗号通貨ウォレットの詳細、自動入力データなど、ブラウザに保存されているデータを標的とすることが多いのです。
デバイスが不正アクセスされると、銀行口座の詳細、自宅や勤務先の住所、税金情報、そしてもちろんメールアカウントのパスワードまでもが盗まれてしまう可能性があります。パスワードの強度は、盗まれれば意味がありません。
インフォスティーラーがPCやスマートフォンに現れる仕組み
マルウェアはデバイスにランダムに現れるわけではありません。アプリをダウンロードしてインストールする必要があります。そして、攻撃者は巧妙な方法でユーザーにマルウェアを仕込んできます。例えば、次のようなケースです。
- 通常のタスクを実行するブラウザ拡張機能やアプリをダウンロードすると、宣伝通りの動作をします。しかし、バックグラウンドではユーザーのデータを盗んでいるのです。
- 公式ソフトウェアへの偽のリンクをクリックする。(この最近の例では、マルウェアが検出を回避するためにグラフィックカード自体に感染するという、さらに厄介な事態が発生しました。)
- あなたは公海に出航し、海賊版ソフトウェアをダウンロードすることに決めました。すると、ダウンロードしたかったアプリと一緒にマルウェアもインストールされてしまいます。
インフォスティーラーを回避する方法
インフォスティーラー感染を回避するには、いくつかの習慣を身につけることが重要です。ダウンロードしたソフトウェアの使用習慣も重要ですが、セキュリティソフトウェアを最新の状態に保つことも重要です。
- セキュリティ専門家や大手テクノロジーサイトなどの信頼できる情報源によって検証された、よく知られたソフトウェアを選びましょう。予算が限られている場合は、人気の有料アプリの代わりに、オープンソースの無料代替アプリが見つかることも少なくありません。(中には、ユニークな無料ツールが見つかることもあります。)
- クリックする際は注意が必要です。検索結果を見る際は、URLが公式または既知のサイトと一致していることを確認してください。もしURLが間違っていたり、怪しいと感じたら、クリックを止めて最初からやり直してください。
- 定期的にウイルススキャンを実行しましょう。最近では、これは自動で行われるはずです。ただし、ソフトウェアがアップデートを自動ダウンロードするように設定されているかどうかを時々確認しても問題ありません。
アカウントのセキュリティを早急に強化しましょう
万が一パスワードが漏洩した場合でも、2要素認証があなたと攻撃者の間に立ちはだかります。(ただし、2要素認証コードを誤って漏らさないようにご注意ください。)
PCワールド
アカウントのパスワードに関しては、今回のデータ漏洩に巻き込まれたかどうかは分かりません。最も安全な方法は、影響を受ける可能性を想定し、予防策を講じることです。
ここでの目標は、漏洩した認証情報を不正に利用されるのを防ぐことです。これらの対策は、特定の種類の情報窃盗攻撃から必ずしも保護できるとは限りません。(これについては後ほど詳しく説明します。)
- 特に重要なアカウントでは、2要素認証(多要素認証とも呼ばれます)を有効にしてください。これは、攻撃者がアカウントにアクセスするために通過しなければならない2つ目のチェックポイントとして機能します。パスワードだけでは不十分です。
- パスキーを使い始めましょう。パスワードとは異なり、このログイン方法は盗まれたり、攻撃者に共有されたりすることはありません。また、覚える必要もなく、使い方も簡単です。
- 最も機密性の高いアカウントのパスワードを変更しましょう。パスワードマネージャーを使えば、強力で一意のパスワードを生成し、保存してくれるので、このプロセスは最も簡単です。
なぜこれらの保護対策はインフォスティーラーに効果がないのでしょうか?それは、現在のウェブ認証の仕組みに起因しています。ウェブサイトへのログインに成功すると、ブラウザはログイン状態を保持するCookieを保存します。しかし、これらのCookieはインフォスティーラーマルウェアによってコピーされる可能性があります。
ウェブサイトの認証処理方法(この場合、この種の攻撃に対するそのプロセスの脆弱性)によっては、攻撃者が盗んだ認証Cookieを自身のPCで使用してアカウントにログインできる可能性があります。二要素認証もパスキーも、これを防ぐことはできません。
したがって、もう一度、PC に何をインストールするか注意してください。
何をすべきかの簡単なチェックリスト
クリス・ホフマン / IDG
これらの手順をどの順番で実行すればいいのかわからない場合は、セキュリティ情報を更新する前に、PC がクリーンでマルウェアに感染していないことを確認してください。
初め:
- PC でウイルス対策ソフトウェアを実行します。
- また、デバイスにインストールされているアプリやブラウザ拡張機能も確認してください。(ウイルス対策ソフトは万能ではありません。)
- 見覚えのないソフトウェアや出所が疑わしいソフトウェアは削除してください。(不明な場合は、検索エンジンを使ってアプリや拡張機能の評判を確認することもできます。)
それから:
- パスワードを使用したアカウントで 2 要素認証を有効にします。
- 機密性の高いアカウント(少なくとも、主要な電子メール アドレスと金融機関)のパスワードを更新してください。
- 通常のログイン方法として使用するため、アカウントのパスキーを作成することも検討してください*。
一部のアカウントでは、完全にパスワードレスにすることができます。つまり、パスキーに切り替えてパスワードを削除するのです。ただし、この方法では、誤ってアカウントにアクセスできなくなるリスクが伴います。そのような事態を防ぐには、バックアップデバイスに追加のパスキーを保存しておく必要があります。
ほとんどの人へのアドバイス:パスワードをランダムで非常に強力なものにアップグレードし、パスワードマネージャーに保存してください。また、2FAを有効にしてください。その後、パスキーとバックアップも作成してください。パスキーは通常のログイン方法として使用しますが、パスワードと2FAの組み合わせは、すべてのパスキーにアクセスできなくなった場合の安全策として保管しておいてください。
そうですね、オンラインセキュリティは今、大きな悩みの種です。(AIツールの爆発的な増加と、サイバー犯罪者によるその利用が大きな要因です。)近いうちに、より良い解決策が見つかることを願っています。
