FBIがソニー・ピクチャーズへの攻撃に関連した容疑でLulzSecハッカーを逮捕したというニュースを受け、新たなハッカーチームが注目を集めている。「Team GhostShell」は100万件以上のハッキング記録を公開しており、今後もさらに公開していくとしている。
新たな攻撃は「プロジェクト・ヘルファイア」の一環です。プロジェクト・ヘルファイアは、銀行や政治家に対するオンライン抗議活動、そして逮捕されたハッカーへの報復を目的としています。Team GhostShellは、「この秋冬には、さらなるリリース、Anonymousをはじめとするアーティストとのコラボレーション、そしてさらに2つのプロジェクトが予定されています。これはまだ始まりに過ぎません」と述べています。
セキュリティベンダーの分析によると、侵害のほとんどはSQLインジェクション攻撃によるものでした。攻撃はコンサルティング会社、製造業、政府機関、銀行を標的としていました。Team GhostShellは、管理者パスワード、顧客アカウントのユーザー名とパスワード、その他のファイルや文書を取得することに成功しました。
どうやら、ハッキングされたデータの大部分は個人の信用履歴で占められているようで、今後、個人情報窃盗や不正な信用取引口座が急増する可能性がある。
しかし、今回の分析で際立った点の一つは、脆弱なパスワードが依然として大きな問題となっていることです。侵害されたアカウントの多くは、「123456」のような曖昧なパスワードを使用していました。ある法律事務所では、ユーザーのイニシャルに「law321」を付加したパスワードをデフォルトで使用しており、ユーザーにパスワードの変更を求めていないため、非常に脆弱で簡単に推測できるパスワードとなっています。
PC、タブレット、スマートフォンをマルウェアなどの攻撃から守るために、何らかのクロスデバイスセキュリティツールを導入する必要があります。しかし、どんなに優れたセキュリティソフトウェアでも、脆弱なパスワードを補うことはできませんし、取引先のサードパーティのサイトやサービスを狙った攻撃から保護することもできません。
Dropboxが最近実装したような二要素認証は、正しい方向への一歩と言えるでしょう。少なくとも二要素認証では、攻撃者がパスワードを解読して利用するには、ユーザーの指紋、あるいはスマートフォンの物理的な所持が必要になります。
しかし、二要素認証の有無に関わらず、必要以上に攻撃者にとって容易に解読できるパスワードを作る理由はありません。「123456」「qwertyu」「password」といったパスワードは、パスワードクラッキングツールを必要とせず、攻撃者にあなたの個人情報への鍵を少なくとも一つ提供してしまいます。また、いかなる状況においても、パスワードを他人と共有しないでください。
繰り返しになりますが、オンラインで取引する第三者のセキュリティ(あるいはその欠如)をコントロールすることはできません。できることは、セキュリティを真剣に考えているサイトやサービスと取引すること、そしてサイトごとに異なるパスワードを使用することだけです。そうすることで、1つのサイトのパスワードが侵害されても、オンラインプレゼンス全体が侵害される事態に陥ることはありません。
