Massive 16 Billion Passwords From Apple, Facebook, Google and More Leaked From 320 Million Computers
2026/06/20 CyberSecurityNews — 新たなレポートが報告するのは、Apple/Facebook/Google/GitHub/Telegram、政府サービスなどの主要プラットフォームからの、160億件ものログイン認証情報の発見である。30種類のデータセットから発見された、この大規模な漏洩は前例のない脅威であり、世界的なサイバー・セキュリティとデジタル・プライバシーへの懸念が生じている。漏洩したデータセットのサイズは大きく異なるものであり、最小のものには 1600万件以上のレコードが、最大のものには35億件以上の認証情報が含まれている。
全体的なデータセットには、平均で約 5億5000万件のレコードが含まれており、研究者が大規模攻撃の青写真と呼ぶものとなっている。
一連のデータ構造は、URL/ユーザー名/パスワードの組み合わせで構成され、多くのケースにおいて、認証トークン/セッション Cookie/メタデータを伴う。つまり、インフォ・スティーラー・マルウェアに典型的なパターンに従うものとなっている。
すでにロックされている大半のデータセットであるが、保護される前には Elasticsearch のインスタンスとオブジェクト・ストレージ・コンフィグを通じて、一時的にアクセス可能であったと、Cybernews は述べている。
3億2000万台のコンピュータから漏洩、しかし新しいものはなし!
この報告に関して Hudson Rock の CTO である Alon Gal は、「感染したコンピュータ1台あたり、平均で約 50セットの認証情報が保持されている。認証情報が160億件あることを考えると、3億2000万台のコンピュータがインフォ・スティーラーに感染したということになる。しかし、この数字を、どのように解釈しようとしても、この主張は完全に真実ではない」と、CyberSecurityNews に述べている。
彼は、「今回の漏洩は、おそらく、インフォスティーラーが盗み出した認証情報/過去のデータベースからの漏洩データ/ALIEN TXTBASE 漏洩に類似する偽造エントリの組み合わせによるものと考えられる。たとえば、漏洩した情報には、パスワード/ログイン情報が僅かに異なる行も含まれており、ブルートフォース攻撃用とも思える」と付け加えている。
データセットの中には、一般的な “ログイン” や “認証情報” といった名称が突いているものもあれば、特定の地理的情報やサービス関連の識別子が付けられているものもある。たとえば、ロシア連邦に関連のある 4億5500万件以上のレコードを含むデータセットや、Telegram 関連の認証情報 6000万件を含むデータセットもあるという。
一連の漏洩したデータは、クレデンシャル・スタッフィング攻撃/アカウント乗っ取り/ビジネスメール詐欺 (BRC) などでの悪用という、大きな機会を生み出すものである。
問題となっている侵害は、最近になって発生したものではなく、長期間にわたり断片的に、その結果がダークウェブ上で公開されていたようだ。これらのデータは集約され、その後にインターネット上で公開されていた。
サイバー犯罪者たちは、これらの膨大なデータセットを悪用し、つまり、正規のログイン認証情報を用いて基本的なセキュリティ対策を回避し、かつてない精度でフィッシング攻撃を実行できた。
多くのレコードにおいて、認証トークンやセッション Cookie が存在することで、脅威が増大している。つまり、パスワード認証を必要とせずに、アクティブなユーザー・セッションを悪用することで、素早いアクセスの可能性が生じる。
このデータの構造化は、ランサムウェアによる侵入や個人情報の窃取において、脅威アクター側に優位に働く。
成功率が 1% 未満だとしても、依然として数百万人のユーザーに影響を与える可能性があり、今回の漏洩規模がもたらすのは、サイバー脅威の状況における根本的な変化だと思われる。
堅牢な多要素認証 (MFA) の実装と、包括的な認証情報管理の実践が不足している組織では、侵害のリスクが高まることになる。
ユーザー組織に推奨されるのは、強力なパスワード・ポリシーの実装/認証情報の頻繁なローテーション/インフォ・スティーラー・マルウェアなどの包括的なシステム・スキャンの実施である。
ユーザーにとって必要なことは、すべてのアカウントで多要素認証 (MFA) を有効化し、不審なアクティビティの兆候を監視することである。組織にとって必要なことは、認証情報が収集される前にインフォスティーラー感染を特定し、無効化するためのエンドポイントを検出し、EDR などのソリューションを優先することだ。
今回の侵害が浮き彫りにするのは、認証情報の窃取が産業化している時代における、積極的なサイバー・セキュリティ対策の重要性である。
数週間ごとに、新たな大規模なデータセットが出現し続けている。ますます高度化される、このように大規模な認証情報の収集活動から身を守るという課題に、サイバー・セキュリティ・コミュニティは直面している。
身を守る方法
デバイスをロックダウンする:インフォスティーラーは、古いソフトウェアや脆弱なデバイスから侵入する。Microsoft Defender や CrowdStrike などのツールを用いて、キーロギングやパスワード窃盗といった不正な活動を特定/阻止する。すべてのシステム/アプリ/ファームウェアなどを、最新のパッチで更新し、セキュリティ・ホールを塞ぐ。また、アプリケーションのホワイトリストを設定して、不正なプログラムをブロックし、本当に必要な場合を除き Office マクロを無効化する。
ログインを強化する:インフォスティーラーはパスワードを盗み、システムの奥深くまで侵入しようとする。すべてのアカウントには、特に管理者アカウントや VPN アクセスなどの重要なアカウントには、多要素認証 (MFA) を必須にする必要がある。また、パスワード・マネージャーを使用して、強力で重複のないパスワードを使用し、機密情報にアクセスできるユーザーを制限する。漏洩が発生した場合には、パスワードをリセットし、アクティブなセッションを切断し、Splunk などのツールを用いて不審なログイン試行を監視する。
ネットワークを監視する:インフォスティーラーは、盗んだデータをインターネット経由で送信する。ファイアウォール/侵入検知/データ損失防止 (DLP) ツールを活用し、不正な転送を検知/ブロックする。なお、DNS フィルタリングとネットワーク・セグメンテーションは、マルウェアの侵入/拡散を阻止する。
常に対応できるよう準備を整える:SIEM と行動分析で脅威を迅速に特定する。攻撃を受けた場合には、Volatility などのツールで調査を行い、感染デバイスを隔離し、クリーンなバックアップからの復元を行う。NIST 準拠の対応計画を策定し、定期的にテストを実施する。
今回の認証情報の大規模漏洩に関するニュースには、ちょっと驚きました。160億件という桁違いの規模に加えて、パスワードだけでなく、セッション・トークンや Cookie までもが盗まれています。インフォスティーラーによる感染と窃取が、着実に威力を増している感じがします。この記事の参照元である Cybernews には、いくかのデータが提供されています。よろしければ、Info Stealer で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.