\r\n\r\n
Zoomのアカウントは、「クレデンシャル・スタッフィング」により、合計5億個がダークウェブ**上に存在します。これは、犯罪者がオンラインでアカウントを信用するための一般的な方法です。ここでは、この言葉の意味と、自分の身を守る方法について説明します。
オンラインサービスに対する攻撃はよくあることです。犯罪者は、システムのセキュリティホールを悪用して、ユーザー名やパスワードのデータベースにアクセスすることがよくあります。盗まれたログイン情報のデータベースは、通常ダークウェブ**上で公開されており、犯罪者はそのデータベースにアクセスする特権をビットコインで支払っています。
例えば、2014年に侵害されたAvastフォーラムのアカウントを持っているとします。アカウントが侵害され、犯罪者があなたのユーザー名とパスワードをアバストフォーラムで知っているかもしれません。アバストから連絡があり、フォーラムのパスワードを変更するように言われましたが、何が問題なのでしょうか?
残念ながら、多くの人が異なるウェブサイトで同じパスワードを何度も使ってしまうことが問題です。お客様のアバストフォーラムのログイン情報が「[email protected]如果你使用相同的用户名 (お客様の電子メールアドレス) と他のサイトにログインするためのパスワード」であると仮定すると、お客様の漏洩したパスワードを入手した犯罪者は他のアカウントにアクセスすることが可能になるのです。
関連記事:ダークウェブとは?
「クレデンシャルフィリング」とは、漏洩したログイン情報を持つこれらのデータベースを利用し、他のオンラインサービスでその情報を使ってログインを試みることである。
犯罪者は、漏洩したユーザー名とパスワードの組み合わせ(多くの場合、数百万のログイン認証情報)の大規模なデータベースを使用し、他のサイトへのログインに使用しようとするのです。複数のサイトで同じパスワードを使いまわしている人もいるので、一致するものもあるはずです。これは、複数のログインの組み合わせを素早く試すソフトウェアによって、しばしば自動化することができます。
非常に技術的で危険なことのように聞こえますが、これは他のサービスですでに侵害された認証情報を試して、何が有効かを確認しているだけなのです。つまり、「ハッカー」はすべてのログイン情報をログインフォームに詰め込み、何が起こるかを見るのです。中には、必ず効果があるものもあります。
これは、攻撃者がオンラインアカウントを「侵害」する最も一般的な方法の1つです。2018年だけでも、コンテンツデリバリーネットワークのアカマイは、約300億件のクレデンシャルスタッフィング攻撃を記録しています。
関連:攻撃者が実際にオンラインで「アカウントをハッキング」する方法と、自分自身を守るための方法
クレデンシャルスタッフィングから身を守るには、セキュリティの専門家が何年も前から推奨しているパスワードのセキュリティ対策に従えばよいのです。魔法のような解決策はなく、パスワードの衛生管理を徹底することです。提言は以下の通りです。
関連:パスワードが盗まれているかどうかを確認する方法
個人の責任でアカウントを保護する必要がある一方で、オンラインサービスでは、クレデンシャル・スタッフィング攻撃を防ぐ方法が数多く存在します。
パスワードの使い方が悪いと、そして公平に見て、安全でないオンラインシステムは、しばしばあまりにも簡単に危険にさらされ、クレデンシャルを入力するオンラインアカウントは、セキュリティ上の深刻なリスクにさらされます。テクノロジー業界の多くの企業が、パスワードのないより安全な世界を望んでいるのは当然のことです。
関連記事:テック業界はパスワードを殺したいのか、それとも現実なのか?