もはやサイバー犯罪者がパスワードを標的としているのは疑いようがない。ダークウェブのデータを活用する脅威インテリジェンス機関によると、情報窃取型マルウェアの脅威は想像以上に広範囲に及んでおり、その実態は非常に危険だ。以下に知っておくべきポイントを示す。
盗まれた39億件のパスワードがハッカー間で共有されている
2024年の年間を通じて、合計430万台以上のマシンが情報窃取型マルウェアマルウェアに感染した。これはKELAの最新サイバー犯罪動向レポート(米国時間2月20日発行)が示しているものだ。さらに脅威インテリジェンスアナリストらは、「情報窃取型マルウェアのログから取得されたと見られる認証情報リスト」のかたちで、39億件にのぼるパスワードが共有されていたと報告している。Lumma(ルンマ)、StealC(スティールシー)、Redline(レッドライン)の3種類だけで、全感染の75%を占めていたという。KELAのCEOであるデイビッド・カーミエルは「マルウェア・アズ・ア・サービスや盗まれた認証情報のマーケットプレイスなど、地下経済がさまざまな不正活動を支える強力なインフラを構築しているのです」という。
このような不正活動には、ランサムウェア攻撃やスパイ活動も含まれる。レポートによると、「情報窃取型マルウェアが選ばれる理由は、その効率性と拡張性にある。個人と企業の両方を対象に、大量のアカウントを一挙に侵害できるからだ」という。
盗まれた認証情報は地下の犯罪マーケットプレイスで取引され、さらなる攻撃キャンペーンの足がかりとなり、新たな認証情報を盗んでは再び売りに出すという自己増殖的なサイクルが回り続ける。KELAの「データレイク」で確認された感染マシンのうち約40%は、企業のコンテンツ管理システム、メール、Active Directory Federation Services、リモートデスクトップなどの機密性が高いシステムへのログイン情報を含んでいた。
これは約170万台のボットと、750万件の侵害された認証情報に相当する。レポートは「KELAの分析によれば、このデータの約65%は企業アカウントの認証情報が保存された個人用コンピューターのものであり、情報窃取型マルウェアマルウェアを介して取得されたと考えられる」と説明している。
KELAはこの情報窃取型マルウェアマルウェアの脅威を軽減する方法として、すべてのアカウントに多要素認証を導入し、重要システムを分離して攻撃者による水平方向への移動を阻止し、さらに高度なメールフィルタリングを導入してフィッシングを防止することを推奨している。アカウントやデータを守りたいなら、早めに行動を起こすべきだ。攻撃者は待ってはくれず、KELAのアナリストたちは2025年にパスワードを狙う情報窃取型マルウェアの脅威がさらに拡大すると見ている。
