今週はこれ以上サイバーセキュリティに関する悪いニュースはないだろうと思った矢先に、FBIが驚くべきデータベースを発見したことを明らかにした。ハッカーから押収した複数のデバイスに、6億3000万件もの侵害されたパスワードが含まれていたのだ。ここでは、知っておくべきポイントと、自分のパスワードが危険リストに含まれているかどうかを確認する方法を説明する。
FBI、押収したハッカーのデバイスから6億3000万件の盗まれたパスワードを発見
巧妙な漏えい情報確認サービスであるHave I Been PwnedおよびPwned Passwordsの創設者であるトロイ・ハントが公表したところによれば、米連邦捜査局(FBI)が、侵害された6億3000万件のパスワードの膨大なリストをハントに引き渡したという。またそれらは、すでに1700億件もの侵害済みアカウントが登録されているHIBP(Have I Been Pwned)データベースに追加されたと明かした。FBIはここ4年間、サイバー犯罪捜査の過程で突き止めた侵害パスワードをハントに提供してきたが、ここで懸念すべきであると同時にほとんど信じがたいのは、今回の最新の収穫がたった1人のハッカーに由来するという点だ。
「今回のデータ群は、FBIがある容疑者の複数のデバイスを押収した結果として、私たちの手に渡ったものです」とハントは述べ、「サイバー犯罪の規模は、それを毎日相手にして生きていても、なかなか実感しがたいほどです」と付け加えた。これには「まったくその通り」と言うほかない。
どうやら、この侵害パスワードは、公開ウェブおよびダークウェブ(匿名性の高い領域)のマーケットプレイス、Telegramのチャンネル、そして言うまでもなくインフォスティーラー攻撃(情報窃取型マルウェアによる攻撃)から集められたもののようだ。
当然のことながら、FBIがハントに引き渡した6億3000万件の認証情報のすべてが、いわゆる「市場」にとって真新しいものというわけではない。そして実際のところ、HIBPチームによる初期分析の結果からも、そのことが裏付けられている。「全体のうち約7.4%は、これまでHIBPで見たことがないものだった」とハントは確認し、「割合としては小さく聞こえるかもしれないが、それでも4600万件の脆弱なパスワードにあたり、これまでサービス利用者がブロックできるようにしてこなかったものだ」と述べた。
自分のパスワードがリストに載っているかを確認する方法
良いニュースとしては、盗まれた認証情報、つまり侵害されたパスワードのすべてが、今では1か所から検索可能になっているという点だ。言い換えれば、自分のパスワードが含まれているかどうかを知るまで、あと数秒のところにいるということである。
Pwned Passwordsサービスにアクセスし、自分のパスワードを入力するだけでよい。心配する必要はない。同サービスは完全に安全であり、あなたのパスワードを危険にさらすことはない。むしろその逆である。「どのパスワードも、メールアドレスのような個人を特定できるデータと並べて保存されることはない」とハントは述べ、「すべてのパスワードはSHA-1でハッシュ化されている」と説明する。
最も重要なのは、アカウントがクレデンシャルスタッフィング攻撃(流出したIDとパスワードを他サービスに大量投入して試す攻撃)の被害に遭う前に、すでに侵害されているパスワードを変更できるよう、今すぐこの確認を行うことだ。
また、パスワードマネージャーを使うことも勧めたい。それから、対応しているすべてのアカウントでパスキーを有効化しておくべきである。さらに、すべてのアカウントで二要素認証を有効にするという、少々面倒な作業もある。FBIが次の大規模な盗難パスワードの山を見つけるのは時間の問題にすぎないので、そのときも安全でいられるようにしておくべきだ。
このFBIの発見を無視してはいけない――今すぐパスワードマネージャーを使うべきだ
すでにパスワードマネージャーを使うべきだと述べたが、それは本当に安全なのか、という疑問は当然出てくる。特に、パスワードマネージャーのデータ侵害や最新のハッキング攻撃についての報告記事を公開した後には、この質問を頻繁に受ける。筆者の答えはいつも同じだ。「はい、間違いなく安全です」。元ハッカーとしての経験、そして明確な理由があって、そこに一片の迷いもない。
パスワードの使い回しと弱いパスワードは、ハッカーの仕事を格段に楽にする。これは信じてほしい。両者は決して互いに排反ではなく、むしろその逆である。人々が弱いパスワードを使うのは、本当にランダムで、本当に複雑で、本当に強力なパスワードは、よほどの記憶力の持ち主でもない限り、覚えるのがほぼ不可能だからだ。
とはいえ、まったく不可能というわけではない。筆者自身、自分のパスワードマネージャーのボールトを解錠する、25文字以上からなるランダムなマスターパスワードを暗記している。ただし、キーボードが目の前にないと、それが何であるかを正確に言葉で説明することはできない。これは筋肉の記憶によるものだと、自分では呼んでいる。最初の5文字さえ覚えていれば、あとは自動的に指が動くのだ。
しかし、仮にそのパスワードをすべてのアカウントで使い回すのであれば、それはもはや強固とはいえない。どれか1つのアカウントが侵害されれば、すべてが侵害されるからだ。
