2022年の認証情報を考える：240 億件以上のパスワードセットが闇取引されている現状とは？

24+ Billion Credentials Circulating on the Dark Web in 2022 — So Far

2022/06/15 DarkReading — パスワードレス技術は、いまのサイバー・セキュリティ部門で最も注目されている分野のひとつだと思われるが、現場では未だにパスワードが広く利用されおり、安全性が非常に低いという現実が存在する。ある報告書によると、サイバー犯罪者のマーケット・プレイスで流通しているユーザー名／パスワードのセットは、今年の時点で 246億件にのぼることが判明している。これは、地球上のすべての人に４セットの認証情報があることを示し、前回の 2020年の調査と比較して 65％増加している。

Digital Shadows Photon Research チームのレポート “Account Takeover in 2022” が明らかにしているのは、認証情報の窃取／アカウント乗っ取り／アカウント・アクセス権などを販売するブラックマーケットから、サイバー犯罪者たちが多大な利益を吸い上げ続けている現状である。

ダークウェブ上の認証情報のセットのうち、ユニークなユーザー名／パスワードの組み合わせは約 67億件あり、それらはデータベース間で重複していない組み合わせであることを示している。この数字は、2020年に発見されたものから 17億件も増えている。この報告書によると、認証情報を販売する一連の市場は強固で洗練されており、購入した犯罪者にプレミアムサービスを提供する、いくつかのサブスクリプション・サービスが出現していることが分かる。

漏洩データの”無限のリスト”

セキュリティ関係者にとってさらに悪いニュースは、これらの盗まれたデータストアで調査されたパスワードの多くが、そもそも安全性が低かったということだ。

Digital Shadows の Senior Cyber Threat Intelligence Analyst である Chris Morgan は、「犯罪者が試すことが可能な、漏洩した認証情報のリストは無限にあるが、この問題に加えて、脆弱なパスワードにより、多くのアカウントが自動ツールを使ってわずか数秒で推測されてしまうという問題がある。犯罪者が販売したパスワードのうち 200件に 1件は 123456であり、また、頻繁に使用され推測されやすい 50件のパスワードのうち 49件は、アンダーグラウンド・フォーラムで一般的に利用されているツールを使って１秒以内に解読できる。つまり、犯罪者が盗んだ認証情報のリストを購入しようが、パスワード・クラッカーを購入しようが、これらの認証情報だけを使用するアカウントは、攻撃に対して極めて脆弱なのである」と述べている。

パスワードレスは救世主？

上記の問題は、セキュリティ支持者や技術標準化団体が、世界中でより使いやすいパスワードレス技術を強く求めている、理由のひとつに過ぎない。最近の Dark Reading のレポートによると、IT 意思決定者のうち 26%だけがパスワードのない組織で働いていると答え、87%が未だにパスワードに依存しているクレデンシャル・カテゴリが、少なくとも１つはあると認めている。

パスワードレスで利用したいシステムとして、ワークステーションへのログイン／レガシー・エンタープライズ・アプリケーション／クラウド・アプリケーションが最も多く挙げられている。また、この数字は主に企業アカウントに焦点を当てたもので、銀行口座からソフトウェアのサブスクリプション・サービスまで、消費者認証に関するさらに厄介な問題は考慮されていない。

2022年初め FIDO アライアンスは、個人デバイスをリモート・ワークに用いる時代で重要となる、消費者のユースケースで使用される、マルチ・デバイス FIDO クレデンシャルのビジョンを発表した。しかし、そこで認めたのは、「我々は消費者空間における FIDO ベースの認証の大規模な採用を達成していない」という現実である。ただし、これらのパスキーは、パスワードよりも安全であり、モバイル・デバイスやデスクトップでのログインを容易にするために設計されている。また 2022年5月には、Apple／Google／Microsoft の各プラットフォームで、これらの標準が実装される予定だと報告している。

その一方で Chris Morgan は、「アカウント乗っ取りに利用される認証情報の、盗難／売買の増加し続ける問題について、ユーザー組織は見過ごすべきではない。将来において、私たちはパスワードレス社会に移行するだろうが、現時点では、認証情報の侵害の問題は手に負えない状況にある。過去 18ヶ月間に、私たちは 670万件の漏洩した認証情報をクライアントに警告してきた。この中には、社員／顧客／サーバー／IoT デバイスのユーザー名／パスワードが含まれている。これらの事例の多くは、より強力なパスワードを使用し、異なるアカウント間で認証情報を共有しないことで軽減できたはずだ」と述べている。

衝撃的な数字が並んでいますが、その中でも、「ダークウェブ上の認証情報のセットのうち、ユニークなユーザー名／パスワードの組み合わせは約 67億件あり、それらはデータベース間で重複していない組み合わせであることを示している。この数字は、2020年に発見されたものから 17億件も増えている」という部分が強烈ですね。よろしければ、Digital Shadows Photon Research チームによる、Account Takeover in 2022 も、ご参照ください。