大規模流出事件から専門家が悟った「パスワードはもう時代遅れ」：ダークWebで大量の認証情報を発見

膨大な認証情報が盗まれた。ダークWebで発見されたそのデータは不正利用するための特別な機能も備えていた。

悪意のあるユーザーが悪いのは当然なのだが……

　ダークWebを調べていた研究者が、盗まれた認証情報が平文で保存されている膨大なリポジトリ（ここではデータを一元的にまとめてある貯蔵庫の意味）を発見した。この種のリポジトリとしては過去最大の規模だった。

　なりすましなどの脅威対策を手掛ける米インテリジェンス企業4iQの創業者で最高技術責任者（CTO）を務めるジュリオ・カサル氏によると、問題のリポジトリは、同社の研究チームが2017年12月5日に発見した。ディープWebやダークWeb（いずれも通常のブラウザで参照できない情報）をスキャンして、流出や紛失、盗難に遭ったデータを探していた。41GBのリポジトリには、14億個の盗まれた認証情報が平文（暗号化されていない誰でも読める形）で保存されていた。これらは過去に起きた252件の流出事件から集められた情報で、世界最大級のビジネス特化型SNS（ソーシャル・ネットワーキング・サービス）であるLinkedInや、テキストデータを保存し公開することができるWebアプリケーションサービスPastebinなどから流出した情報も含まれていた。

悪意のあるユーザーにとって使いやすい状態に

　このリポジトリは、単に盗まれた認証情報が保存されていただけでなく、さらに先進的な機能を備えていたという。

　カサル氏はSNSのMediumにてこう記している。「これは単なるリストではない。総合的な双方向データベースであり、高速検索（反応時間1秒）や新たな流出情報の取り込みもできる。ユーザーが電子メールやソーシャルメディア、電子商取引、銀行、仕事用のアカウントで同じパスワードを使い回している現状を考えると、犯罪集団がアカウント乗っ取りやアカウント奪取を自動化することもできる。このデータベースは、パスワードの発見をかつてないほど高速かつ容易にした。例えば管理者が利用する『admin』『administrator』『root』というパスワードを検索すると、わずか数秒で22万6631件がヒットした」

　なおリポジトリを管理（露呈）しているサイトは他にもあり、例えばサイトAは脆弱（ぜいじゃく）性を攻撃するプログラム群を露呈している。サイトBはスパム用botとbotによって流出された認証情報を露呈している。両サイトともに過去大規模な認証情報の流出が確認されている。同氏によれば、今回見つかった認証情報のリストには、サイトAのリスト（7億9700万の記録）が含まれる他、133件の事案で流出したデータも追加されていた。一方、もう1つのサイトBの情報（7億1100万アカウントの認証情報）は含まれていなかった。

盗まれた認証情報の大量流出で見えた「時代遅れ」の対策