今すぐ行動して流出パスワードの脅威を軽減
サイバーニュースの情報セキュリティ研究者であるネリンガ・マチヤウスカイテは「デフォルトパスワードの問題は、漏えいした認証情報のデータセットにおいて最も根深く危険なパターンのひとつです」と述べている。分析によれば「admin」というパスワードは5300万回、「password」は5600万回も使われていたという。マチヤウスカイテいわく「攻撃者もこれらを真っ先に狙うため、もっとも安全性の低いパスワードのひとつになっています」。つまり、まずはこれらを変更することが迅速かつ有効な対策である。
パスワードを絶対に使い回さないことも極めて重要だ。マチヤウスカイテは「複数のプラットフォームで同じパスワードを再利用すると、あるシステムが侵害された際、ドミノ倒しのように他のアカウントの安全まで脅かされる可能性があります」と警鐘を鳴らす。実際、既存のシステムが侵害されていなくても、攻撃者はよくあるパスワードのパターンを利用し続けることができる。「攻撃者は常に最新の認証情報ダンプを収集し、公開されたインフォスティーラーのデータや新たに解読されたハッシュを入手しています」と同氏は結論づける。「これにより、高度で効果的なクレデンシャル・スタッフィング攻撃が続発し、従来のセキュリティ防御を容易にバイパスしてしまうのです」。
サイバーセキュリティ業界への公開書簡 ― 流出パスワード問題を止めるには
MetaCert(メタサート)のCEOであり、2004年にW3Cモバイルウェブ・イニシアチブを共同設立したポール・ウォルシュは、悪意あるメッセージングの問題に関して豊富な知見を持ち、それを防ぐためのインターネット標準策定にも関わってきた。ウォルシュによると、2025年3月にメタサートが実施した最新の全国SMSフィッシングテスト(AT&T、ベライゾン、Tモバイル、ブーストモバイルなどが参加)でも、結果は残念なものだったという。「すべてのフィッシングメッセージが配信されました。ブロックや警告表示、書き換えは一切行われなかったのです」とウォルシュは語る。
ProofPoint(プルーフポイント)の報告によれば、2024年にはメールを上回る規模でモバイル端末を標的にしたフィッシングが増加したとされる。多くのサイバー攻撃が、どのプラットフォームであれフィッシングによって始まる以上、ソーシャルエンジニアリングの問題を解決すれば流出パスワードの蔓延を大幅に抑えられる可能性は高い。ウォルシュは「なぜSMSフィッシングの問題がこれほど長い間放置されてきたのか」と問いかける公開書簡をサイバーセキュリティ業界に向けて記している。
ウォルシュいわく「サイバーセキュリティ業界には、メールセキュリティやエンドポイント保護、ネットワーク防御の専門家は数多くいますが、SMSインフラとセキュリティに関する深い知見を持つ人材は明らかに不足しています」。この書簡は「メールや企業ネットワーク向けフィッシング対策で数十億ドル(数千億円)規模のビジネスを築き上げてきたセキュリティベンダー」に対する行動要請だという。「しかし、地球上で最も信頼されている通信チャネルであるSMSは、依然として保護されていない標的のままです」とウォルシュは述べる。メールセキュリティと同程度の対策をSMSにも適用すべきであり、「犯罪者はすでに本格的に動いているにもかかわらず、業界は対応できていない」のだと警告する。サイバーセキュリティ業界全体が真剣に取り組まない限り、この先もパスワード流出にまつわる報道が絶えないだろうと筆者も危惧している。
