ここ数カ月の間だけでも、ダークウェブや犯罪フォーラムに出回る盗まれたパスワードの確認済みリストが、8億件から17億件、さらには21億件という規模にまで増加している。これは主にインフォスティーラー(情報窃取型)マルウェア攻撃の拡大によるものだ。しかし、新たに公表された報告によれば、こうした衝撃的な数字をはるかに上回る190億件のパスワードが、今まさにオンライン上で入手可能な状態にあるという。自動化されたパスワードハッキングが蔓延する危険な現状を考えれば、犠牲者とならないために今すぐ対策を講じる必要がある。
約190億件の漏えいパスワードがもたらすハッキング問題
2024年4月から12カ月間に発生した200件のセキュリティインシデントによって漏洩した、「190億303万5929件」のパスワードにアクセスできる状況を想像してみてほしい。これが新たな分析で示されたデータだ。この巨大なデータベースには、盗まれたパスワードとメールアドレスが対になって掲載されているものだけが含まれる。さらにこれまで使われていたRockYouのような単語リスト集は、犯罪者にとって実質的な価値が低いとして排除されている。よって、ここに含まれるのは実際にオンラインの犯罪フォーラムで公開されているパスワードだけだ。こうした事情を踏まえれば、犯罪目的を持つハッカーにとって、これがいかに巨大かつ重要なことであるかが分かる。
この分析は、Cybernews(サイバーニュース)のリサーチチームによって米国時間5月2日に公開された。その内容は非常に衝撃的で、範囲が広く、セキュリティ上の懸念も大きい。まず注目すべきは、いい加減なパスワードとパスワードの再利用問題である。結局のところ、オンライン上に流出した「190億303万5929件」のうち、ユニークだったのはわずか6%(約11億4381万5266件)にすぎない。言い換えれば、94%ものパスワードが何らかの形で再利用されていたことになる。これが同一人物か別の人物かは問わない。こうしたリストを入手した犯罪者が、そのハッキングの可能性に胸を躍らせるのも無理はない。
さらに42%のパスワードは8~10文字と短すぎるため、ブルートフォース攻撃(総当たり)やクレデンシャル・スタッフィング攻撃(盗んだ資格情報の使い回し)を試みる余地が広がる。加えて27%は小文字アルファベットと数字だけで構成され、特殊文字や大文字が使われていない。もはや嘆息するほかない状況だ。
