サイバー犯罪者は、大きく報道される事件、突然の恐怖感、緊急性を好む。先週流れた、「史上最大のデータ漏洩」によって160億件のパスワードが漏洩したというニュースは、まさに彼らにとって格好のチャンスとなった。特に、アップルやグーグルのアカウント、つまり最も価値の高いアカウントに「アクセスが可能になった」とされた点は、攻撃者にとってさらに魅力的だった。
もっとも、アップルやグーグル、マイクロソフト、フェイスブックが新たなデータ侵害を受けた事実はない。今回騒がれている「流出」は、過去の複数の漏えいデータやPC上の情報窃取型マルウェア(インフォスティーラー)経由で集められた情報を寄せ集めたものにすぎない。しかし見出しだけを読んだ利用者は事情を知らず、当然ながら慌てるだろう。
この騒動は、パスワードのみでアカウントを守ることの脆弱性を浮き彫りにした。対処法は、すべてのパスワードをリセットすることではない。アップル、グーグル、マイクロソフト、フェイスブック、アマゾンなど主要アカウントで二要素認証(2FA)を有効にし、可能な限り「パスキー」へ移行することが肝要だ。
パスワードリセットのリンクやサポート用電話番号には注意
一方で、多くの一般ユーザーが現在、自分のユーザー名とパスワードが上記の侵害されたデータセットに含まれていたかどうかには関わりなく、攻撃のリスクにさらされている。攻撃者はこの先、アップルやグーグル、その他のブランドを装ったメールを送信し、侵害について警告し、関連するニュースやパスワードリセットのアドバイスにリンクするだろう。そして、これらのメールやテキストには、偽物のパスワードリセットのリンクやユーザーサポート用電話番号が含まれている。それこそが攻撃なのだ。
こうしたリンクをクリックしたり電話をかけたりすると、攻撃者はパスワードを盗み、アカウントおよび内部データにアクセスしようとする。実際、アップルやグーグルの利用者を狙い、「アカウントが侵害されたのでパスワードを変更せよ」と偽るメール、電話、SMSが多数確認されている。今回の報道は、攻撃者にとって思わぬ贈り物になったのだ。
