なんと160億件ものパスワードが流出。真の危険性とは？

ハッカーがノートパソコンからデータを盗む

画像: Towfiqu barbhuiya / Unsplash

今週初め、Apple、Google、Facebook、GitHubなどのサービスに関連する160億件のログイン記録が膨大なデータセットの一部として発見されたという、大きなニュースが報じられました。しかし、この種の他の多くの発見とは異なり、これらの認証情報は、既に漏洩した情報を再パッケージ化したものではないようです。むしろ、これまで見たことのない新たなデータが含まれているのです。

Cybernewsが詳述しているように、研究者らによると、これらのパスワードは、クレデンシャルスタッフィングセット（クレデンシャルスタッフィング攻撃に用いられる既知のパスワード）、過去に漏洩した認証情報、そしてインフォスティーラーマルウェアによって取得されたデータの組み合わせから生成されたものだという。このコレクションは合計30のデータセットに及び、それぞれ数千万件から最大35億件のレコードに及ぶ。

この報告を聞いて、あなたは2つの考えのうちどちらかを考えるかもしれません。ログイン情報がいかに簡単に攻撃者の手に渡ってしまうかを考えると、オンラインセキュリティの強化は絶望的だ、と。あるいは、数十億もの認証情報がほんの短期間しか利用できなかったので、それほど心配する必要はない、と。

いいえ。ここで本当に重要なのは、インフォスティーラーがいかに簡単にオンラインセキュリティを破壊できるかということです。

インフォスティーラーから身を守る方法

ウイルス対策はインフォスティーラーに対する防御策の一つです。しかし、第一の防御線としては不適切です。

ジム・マーティン / 鋳造所

インフォスティーラーの問題はここにあります。強力で固有のパスワードを使用することはできます。パスワードマネージャーに保存することもできますし、使用していないときはPINや生体認証で保管庫を保護することもできます。しかし、この種のマルウェアがPCやスマートフォンに侵入すると、それらのセキュリティ対策の恩恵が失われてしまいます。インフォスティーラーマルウェアは、ログイン情報を含むあらゆる種類のデータをPCやスマートフォンから取得できます。

どうやって？スクリーンショットを撮ったり、入力内容を記録したり、ブラウザから直接認証情報を取得したりします。

インフォスティーラーから身を守る最善の方法は、PCにインフォスティーラーを侵入させないことです。それは2つのステップで実行できます。

よく知られた正規のソフトウェアのみをインストールしてください。海賊版ソフトウェアは、デバイスにインフォスティーラーが侵入する最も一般的な原因です。また、ブラウザ拡張機能の改ざんも、好意的なレビューや、宣伝されている機能を実行する拡張機能に騙されやすい場合があります。（拡張機能は機能を果たすだけでなく、同時にユーザーをスパイする可能性もあります。）正規のソース（AdobeやGoogleなど）から直接入手し、セキュリティ専門家によって検証されたソフトウェアのみを使用してください。
ウイルス対策ソフトを常に最新の状態に保ってください。ミスはつきものです。もしかしたら、気づかずに間違ったリンクをクリックしてしまうかもしれません。優れたウイルス対策ソフトはアプリの不審な動作を監視しますが、自動的に更新され、バックグラウンドで実行されることで、最大限の効果を発揮します。ほとんどのセキュリティソフトでは、この設定はデフォルトで有効になっています。変更しないでください。

さらに 2 つの賢い手順を実行することもできます。

できるだけ多くのアカウントで多要素認証（別名2要素認証）を有効にしましょう。まずは、メインのメールアドレス、金融機関の口座、医療記録、政府機関のアカウントなど、最も大切なアカウントから始めましょう。AmazonやBest Buyなど、悪意のある人物があっという間に請求額を膨らませてしまうような大手小売店も検討してみてください。2要素認証（2FA）を有効にすると、攻撃者はアカウントにアクセスする前に2つ目のチェックポイントを通過する必要があります。そのため、たとえインフォスティーラーにパスワードを盗まれたとしても、完全に侵害されることはありません。
可能な限りパスキーを有効にしてください。パスキーはより強力なアカウント認証方法です。パスキーは、そのデバイス（またはパスワードマネージャー）でのみ使用できるため、パスワードのように共有したり盗まれたりすることはありません。ノートパソコンを紛失したり、誤ってデバイスを消去したりした場合に、アカウントにアクセスできなくなるのではないかと心配ですか？2段階認証と組み合わせれば、アカウントに強力で固有のパスワードを設定できます。2段階認証は万一の際の安全策としてバックアップのログイン方法として残し、メインのサインイン方法としてはパスキーを使用してください。

信頼できるソースからの有名アプリを使い、二要素認証を有効にするのは面倒に思えるかもしれませんが、こうした対策を講じることで、なりすまし、詐欺、アカウントロックアウトなどの被害から身を守ることができます。インフォスティーラー（情報窃盗犯）は冗談ではありません。たとえ世界最強のパスワードを使っていても、誰かがそのパスワードを正確に知っていれば、無防備になってしまいます。

著者: Alaina Yee、PCWorld 上級編集者

テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター（#slickdeals）としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。