ハッカーが100億件のパスワードを漏洩しました。今すぐすべきこと

アカウントへのハッキングには、必ずしも脆弱性を悪用する高度な専門知識は必要ありません。漏洩した情報をインターネット上の別の場所に保管するだけで済む場合もあります。だからこそ、膨大なパスワードコレクションの公開は危険であり、100億個近くのパスワードが流出したことで警鐘が鳴らされているのです。

7月4日にフォーラムで初めて発見されたRockYou2024は、99億4000万件もの漏洩パスワードをまとめたものです。この膨大なパスワードには、RockYou2021コレクションのエントリ、最近の侵害や漏洩のデータ、そして投稿者によって解読されたデータが含まれています。RockYou2021には84億件のパスワードエントリが含まれており、その中にはソーシャルメディアサイトに関連する数百万件が含まれています。ちなみに、RockYou2024の「Mother of All Breaches」には、パスワード以外の情報も含め、260億件の個人データが含まれていました。

RockYou2024の詳細はCyber​​newsのレポートでご覧いただけますが、今回の発見から得られる最大の教訓は、誰もがアカウントのセキュリティを直ちに強化する必要があるということです。侵害されたアカウントのパスワードを変更していない場合（特に5月下旬のTicketmasterの大規模情報漏洩以降）、またはパスワードを使い回している場合、クレデンシャルスタッフィング（漏洩したログイン情報をウェブ上で試し、どのアカウントにアクセスできるのかを調べる攻撃）の被害に遭いやすくなります。

自分自身をよりよく保護するために、次の手順を実行してください。

• 各アカウントには、ユニークでランダム、かつ強力なパスワードを設定してください。簡単に推測できない文字列を設定することをお勧めします。  「gu3$$this」ではなく、「pastaturnfriendlyamalgamation20 」のような文字列を設定してください。
• パスワードマネージャーを導入しましょう。強力なパスワードでも、特に管理すべきパスワードが多数ある場合は、覚えるのが難しくなります。パスワードマネージャーを使えば、すべてのパスワードを管理でき、ログインフォームに長くて複雑なパスワードを入力する手間が省けます。専用のパスワードマネージャーは柔軟性が高く、機能も豊富ですが、ウイルス対策ソフトに付属しているものや、Apple、Google、Microsoftの標準搭載パスワードマネージャーも便利です。（ただし、メールのパスワードは別途覚えておくようにしてください。）
• 利用可能な場合は、アカウントに二要素認証を追加してください。これにより、クレデンシャルスタッフィング攻撃を阻止するための保護層がさらに強化されます。二段階認証を通過できないため、ハッカーはあなたになりすましてログインできません。最近では、アプリで生成されるワンタイムパスコードがシンプルさとセキュリティのバランスが最も優れていますが、より強力なオプションとしてハードウェアドングルを使用することもできます。
• パスキーにアップグレードしましょう。2要素認証はパスワードのセキュリティを強化しますが、一部の2要素認証方法はフィッシング攻撃に対して脆弱であるため、万全ではありません。この問題を回避するには、パスキーを使用してアカウントにログインしてください。パスキーは設計上、本質的に一意であり、情報を記憶する必要がなく、フィッシング攻撃にも遭いません。ハッカーがウェブサイトの顧客のログイン情報を盗んだとしても、そのデータを使ってそのサイトや他のサイトにアクセスすることはできません。

個人的には、可能な限りパスキーに切り替えることをお勧めします。パスワードよりも考えたり、手間をかけたりする必要がはるかに少ないからです。必要なのは、パスキーの適切なバックアップだけです（パスキーが保存されているスマートフォンやPCを紛失した場合に備えて）。幸いなことに、多くの主要なパスワードマネージャーでは、パスキーをデバイスに保存できるようになりました。

著者: Alaina Yee、PCWorld 上級編集者