いまさら 「知らなかった」とは言えないだろう。数十億件ものパスワードが漏えいし、うち最新の8500万件が現在進行中の攻撃に利用されているというレポートがあるうえ、ハッカーはセッションクッキーを利用して二要素認証(2FA)を回避する可能性が高いことから、2FAだけでは万全ではない場合もある。
こうした脅威が深刻化する中、「Atlantis AIO」と呼ばれる自動ハッキングマシンが、数百万件もの盗まれたパスワードを使ってメール、VPN、ストリーミングサービス、さらにはフードデリバリーのアカウントなどを次々と突破しているとのレポートが出された。つまり、今すぐパスワードの使用はやめるべきなのだ。
数百万件の盗まれたパスワードを利用する自動ハッキングマシン「Atlantis AIO」
流出や盗難された認証情報を大量に試す攻撃手法である「クレデンシャルスタッフィング」は新しい手口ではない。しかしながら、これは非常に危険な攻撃方法で、ますますその脅威が増大している。
攻撃者は常に新たなツールを開発しようとしている。たとえば2025年3月15日のレポートによれば、Black Bastaというランサムウェアグループの内部チャットログが流出した際に、総当たり攻撃を自動化するフレームワークを利用していることが判明した。「総当たり」や「クレデンシャルスタッフィング」という名称が示すように、これらの攻撃はアカウントに対して大量のユーザー名とパスワードの組み合わせを試し、正解が見つかれば侵入を果たす手法だ。簡単に言えば、ダークウェブのマーケットプレイスや犯罪フォーラムで容易に手に入る盗まれた認証情報リストを使い回すことで、同じパスワードを使っている他のアカウントにも次々に不正アクセスできてしまう。
米国時間2025年3月25日にAbnormal Securityが公表した脅威インテリジェンスレポートによると、「Atlantis AIO」という自動ハッキングマシンが、まさにこの種の大量パスワードを使ったクレデンシャルスタッフィング攻撃を行っていることが明らかになった。
Abnormal Securityのアナリストによれば、「Atlantis AIOはサイバー犯罪者たちの強力な武器となっていて、何百万件もの盗まれた認証情報を高速で連続的にテストできる」という。特に優れている点は、あらかじめ設定されたモジュールにより、HotmailやYahoo!、AOL、GMX、Web.deなどのメールサービスからストリーミングサービス、VPN、金融機関、フードデリバリーまで、多岐にわたる特定サービスを自動的に狙えることだ。実際のところ、レポートによればこのAtlantis AIOは140以上の異なるプラットフォームを対象に攻撃可能だという。
