セキュリティ企業Cybleは先日、Zoomから盗み出されたアカウント情報が、ダークウェブ上で、驚くほど安価な価格で販売されているのを発見した。同社によると、一部のパスワードは無料で入手できたという。
Cybleは53万件以上のアカウント情報を、タダ同然の価格で入手したという。そこには同社の複数の顧客企業に絡むデータが含まれており、個人のミーティングのURLや、Zoomのホストキーも見つかった。Cybleは盗まれたデータの持ち主に連絡をとり、それらが本物であることを確認したという。
Bleeping Computerのスタッフも、盗まれたアカウントの持ち主に問い合わせを行い、パスワードが実際に使われているものであることを確認した。ただし、そのうちの少なくとも1つは、かなり以前に変更済みのパスワードだったという。
販売されていたパスワードのほとんどが、以前に別のサイトから流出したものだったという。これらがZoomのアカウントで使用されるのは、初めてだったのかもしれないが、同じユーザーが過去に別のサービスで利用していたものである可能性が高い。
パスワードの使いまわしは、セキュリティ上の重大な脅威となっている。しかし、サイトごとに別のパスワードを設定するのを面倒に思う人々は、新規のアカウントに古いパスワードを使い続けているのが現実だ。
ここで問題となるのは、使いまわしパスワードをサイバー犯罪者らが巨大なデータベースに保管し、新たなサービスに総当り攻撃をしかける場合に用いていることだ。ここ数年で、流出したアカウント情報は、数十億件に及んでいる。
Zoomにアカウントを開設する際に、使いまわしのパスワードを利用すれば、サイバー犯罪者たちに、簡単に情報を盗み出されることにつながる。ハッカーによる総当り攻撃の餌食にならないためには、ユニークで強固なパスワードの利用を心がけることが必要だ。
自分では記憶不可能な複雑なパスワードを設定すべきなのだ。パスワードの生成や管理には、1PasswordやDashLane、LastPassなどの有名なツールを利用すべきだ。既に使いまわしのパスワードを用いてZoomのアカウントを開設してしまった人は、今すぐこれらのツールをインストールして、セキュリティ強度の高いパスワードに変更しておいたほうがいいだろう。