Gmailなどに影響する、侵害済み認証情報データベース露出の影響──専門家の見解
サイティデル(Cytidel)のCEO、マット・コンロンは、悪意ある目的を持つ者にとってこうしたデータは「宝の山」だと述べた。コンロンは「インフォスティーラー(情報を抜き取る悪意あるアプリ)はここ数年で著しく増えています」とし、「今回のようなデータ侵害は、この問題がいかに広範に及んでいるかを浮き彫りにします」と続けた。
一方、ブラックダック(Black Duck)の上級セキュリティエンジニアであるボリス・シポットは、「削除されるまでにどれほどの被害やデータ漏えいが起きたのか知る手立てはありません」と述べた。さらに「データベースには政府、銀行、ストリーミングサービスのログイン情報も含まれており、サイバー犯罪者にとって非常に価値の高い標的でした」と付け加えた。
シポットは「ファウラーは、このデータがインフォスティーリング・マルウェア、別名キーロガーによって収集されたと考えています。これはユーザー端末に感染し、入力内容を記録するマルウェアです」と述べた。「調査中もデータベースが増え続けていたことから、これはマルウェアが今も活動していることを強く示唆します」とも言う。
APIContext(エーピーアイコンテキスト)のCEO、マユール・ウパディヤヤは、露見したデータベースは「厳しい警鐘」だと筆者に語った。認証情報は盗まれるだけでなく、再利用される。「そして、そこに本当のリスクがあります」とウパディヤヤは述べ、「ログインとパスワードの組み合わせが露出すると、たとえ犯罪者側のインフラからの流出であっても、クレデンシャル・スタッフィング(流出した同じ認証情報を別のアプリやサービスで自動的に試す攻撃)の燃料になります」と続けた。
ピクセル・プライバシー(Pixel Privacy)のクリス・ホークのような消費者プライバシー擁護者は、「これほど大量の認証情報が露出したことは、侵害に気づいていないユーザーや、どの程度露出しているかを把握していないユーザーにとって大きなリスクになります」と述べた。ただし繰り返しになるが、これは何かの新規侵害事案というより、すでに侵害された認証情報の寄せ集めのようである。ホークは「この情報がHaveIBeenPwnedサイトの膨大なデータベースに含まれるには、まだ早いかもしれません」としつつ、「それでも、同サイトでメールアドレスを入力し、過去のデータ侵害で自分の情報が露出していないか確認することを強く勧めます」と述べた。
パスワード管理ツールの活用も推奨
ホークはまた、パスワード管理ツールの活用も推奨した。パスワード管理ツールは「パスワードの使い回しについて警告したり、ログインが侵害で露出した場合に警告を出したりできます」。そのうえで「パスワードの使い回しを防ぎ、変更が必要なときにパスワードを更新しやすくなります」と述べた。
グーグル、露出したGmail認証情報を特定した場合はパスワードのリセットを強制すると説明
筆者はグーグルとGmailの関係者に声明を求めたところ、広報担当者は次のように述べた。
「Gmailのものを含む、幅広い認証情報を含んだデータセットに関する報道を認識しています。このデータは、第三者のマルウェアによって個人端末から収集された認証情報である『インフォスティーラー』ログ──時間をかけて集約されたもの──の集積です。当社はこの種の外部活動を継続的に監視しており、露出した認証情報を特定した場合には、アカウントをロックし、パスワードのリセットを強制する自動的な保護機能を備えています」。
しつこいようだが、これは新たな侵害ではない。複数のサービスに影響し、既存の侵害済み認証情報をまとめたものとみられる。Gmailは、その中で比較的多く含まれていたにすぎない。必要以上に慌てる必要はないが、サービスごとに固有のパスワードを使い、理想的にはグーグルのパスキー機能を代わりに利用すべきだ。
