Hand stealing data

パスワードを盗むマルウェア、クレデンシャル・スタッフィング攻撃、およびデータ侵害によって盗まれたクレデンシャルから3億6,100万件の電子メールアドレスが、データ侵害通知サービス「Have I Been Pwned」に追加された。

サイバーセキュリティ研究者は、これらの認証情報を多数のTelegramサイバー犯罪チャンネルから収集した。

盗まれたデータは通常、ユーザー名とパスワードの組み合わせ(通常、クレデンシャル・スタッフィング攻撃やデータ侵害によって盗まれる)、ユーザー名とパスワードに関連付けられたURL(パスワード窃取マルウェアによって盗まれる)、生のクッキー(パスワード窃取マルウェアによって盗まれる)として流出する。

Stolen credentials shared for free on Telegram
盗まれた認証情報はTelegramで無料で共有される
ソースはこちら:トロイ・ハント(左)と(右)

匿名を希望した研究者たちは、多くのTelegramチャンネルから収集した122GBの認証情報をHave I Been Pwnedのオーナーであるトロイ・ハントと共有した。

ハント氏によると、このデータは3億6,100万件のユニークな電子メールアドレスが含まれる膨大なもので、そのうち1億5,100万件はデータ漏洩通知サービスがこれまで見たことのないものだという。

“2B行の1.7kファイルと361Mのユニークな電子メールアドレスが含まれており、そのうち151MはHIBPで見たことがなかった “とハントは投稿した。

「これらのアドレスと一緒に、パスワードと、多くの場合、データが関連するウェブサイトがあった。

これほど大規模なデータセットでは、流出した認証情報がすべて正当なものかどうかを確認することは不可能だ。

しかしハント氏は、サイトのパスワード再設定フォームを利用して、流出したメールアドレスの多くが、盗まれた認証情報に記載されているウェブサイトに正しく関連していることを確認したという。ハント氏は、パスワードを確認することはできなかった。なぜなら、そのためにはアカウントにログインする必要があり、それは違法となるからだ。

Using website password recovery forms to confirm breaches
ウェブサイトのパスワード回復フォームを使用して侵害を確認する
ソースはこちら:トロイ・ハント

影響を受けないサイトはない

これほど大規模なデータセットでは、ログインを許可しているサイトで、これらの流出した認証情報の影響を受けていないサイトはない。

先週、同じ研究者は、 フォーラムに関連する情報窃取マルウェアによって盗まれた認証情報のリストと共有した。

情報窃取マルウェアは、感染したデバイスからパスワード、クッキー、ブラウザ履歴、暗号通貨ウォレット、その他のデータを盗む感染症である。

このデータは「ログ」と呼ばれるアーカイブにまとめられ、脅威行為者のサーバーに送信され、サイバー犯罪のマーケットプレイスで販売されたり、他の脅威行為者と共有されたり、被害者の他のアカウントに侵入するために使用されたりします。

この種のマルウェアは、ソーシャルメディア、クラックされたソフトウェア偽のVPN製品、またはハッキングされたゲーム会社のサポートサイトを通じて送信される悪意のある電子メールキャンペーンを通じて一般的に配布されます。

BleepingComputeと共有されたデータには、メンバーが私たちのフォーラムにログインするために使用したユーザー名、パスワード、URLが含まれており、ブラウザのパスワード・マネージャーに保存されていました。

Subset of  accounts stolen by information-stealing malware
情報窃取マルウェアによって盗まれたアカウントのサブセット
Source

上記のURLからわかるように、多くのユーザーは自分のコンピュータが感染している疑いがあったために訪問した。

現在、弊社ではデータを分析し、重複するデータを削除しているため、影響を受けた会員のパスワードを積極的にリセットし、情報窃取マルウェアに感染したことを警告することができます。

情報窃取マルウェアに感染したユーザーは、ブラウザのパスワード・マネージャーに保存されているすべてのアカウントのパスワード、および同じ認証情報を使用している他のすべてのサイトのパスワードをリセットする必要があります。

残念なことに、盗まれた認証情報は通常、いつ盗まれたかを示すタイムスタンプとともに共有されることはない。したがって、影響を受けたユーザーは、すべての認証情報が漏洩したと考える必要がある。

これは骨の折れる作業ですが、少なくとも、自分のアカウントやサービスが長年にわたって奇妙な挙動を示した理由を知ることができます。

は、パスワードを何度も変更しているにもかかわらず、アカウントがハッキングされ続けていると話す人々からよく相談を受けます。このような人々は、デバイスやネットワーク上の奇妙な挙動を常に報告していますが、マルウェア感染は見つかっていません。

ユーザは、自分がおかしいのではなく、悪意のある行動は、以前に認証情報が盗まれ、脅威行為者が自分の娯楽や悪意のある活動のために悪用したことに起因している可能性が高いことを知り、少し安心することができます。

情報窃取マルウェアは、ランサムウェアやデータ窃盗攻撃などの大規模な攻撃を行うために脅威行為者によって使用され、サイバーセキュリティの惨劇となっている。

コスタリカ政府MicrosoftCircleCi、意図的なBGPの誤設定につながったOrange Spain RIPEのアカウントへの攻撃など、情報窃取マルウェアによって認証情報が窃取されたことによる有名な攻撃があります。

さらに最近では、情報窃取マルウェアを使用して窃取されたと思われる危殆化した認証情報を使用して、脅威行為者がSnowflakeデータベースからデータを盗み出しました

残念ながら、情報窃取型攻撃は複雑性が低いため、さまざまな攻撃によって広範囲に拡散してしまうため、これを防ぐ簡単な解決策はありません。

最善の防御策は、信頼できないソースからの添付ファイルを開かない、信頼できるソースからのみソフトウェアをダウンロードする、Windowsでファイル拡張子を有効にする、ウイルス対策ソフトウェアを使用する、ソフトウェアを常に最新の状態に保つなど、サイバーセキュリティに関する優れた習慣を実践することです。

ランサムウェアに関連する、より詳細なガイドは、こちらをご覧ください。