190億の漏洩パスワードが公開、スマホを狙うフィッシングSMSの猛威が拡大中
ここ数カ月の間だけでも、ダークウェブや犯罪フォーラムに出回る盗まれたパスワードの確認済みリストが、8億件から17億件、さらには21億件という規模にまで増加している。これは主にインフォスティーラー(情報窃取型)マルウェア攻撃の拡大によるものだ。しかし、新たに公表された報告によれば、こうした衝撃的な数字をはるかに上回る190億件のパスワードが、今まさにオンライン上で入手可能な状態にあるという。自動化されたパスワードハッキングが蔓延する危険な現状を考えれば、犠牲者とならないために今すぐ対策を講じる必要がある。
■約190億件の漏えいパスワードがもたらすハッキング問題
2024年4月から12カ月間に発生した200件のセキュリティインシデントによって漏洩した、「190億303万5929件」のパスワードにアクセスできる状況を想像してみてほしい。これが新たな分析で示されたデータだ。この巨大なデータベースには、盗まれたパスワードとメールアドレスが対になって掲載されているものだけが含まれる。さらにこれまで使われていたRockYouのような単語リスト集は、犯罪者にとって実質的な価値が低いとして排除されている。よって、ここに含まれるのは実際にオンラインの犯罪フォーラムで公開されているパスワードだけだ。こうした事情を踏まえれば、犯罪目的を持つハッカーにとって、これがいかに巨大かつ重要なことであるかが分かる。
この分析は、Cybernews(サイバーニュース)のリサーチチームによって米国時間5月2日に公開された。その内容は非常に衝撃的で、範囲が広く、セキュリティ上の懸念も大きい。まず注目すべきは、いい加減なパスワードとパスワードの再利用問題である。結局のところ、オンライン上に流出した「190億303万5929件」のうち、ユニークだったのはわずか6%(約11億4381万5266件)にすぎない。言い換えれば、94%ものパスワードが何らかの形で再利用されていたことになる。これが同一人物か別の人物かは問わない。こうしたリストを入手した犯罪者が、そのハッキングの可能性に胸を躍らせるのも無理はない。
さらに42%のパスワードは8~10文字と短すぎるため、ブルートフォース攻撃(総当たり)やクレデンシャル・スタッフィング攻撃(盗んだ資格情報の使い回し)を試みる余地が広がる。加えて27%は小文字アルファベットと数字だけで構成され、特殊文字や大文字が使われていない。もはや嘆息するほかない状況だ。
今すぐできること
■今すぐ行動して流出パスワードの脅威を軽減
サイバーニュースの情報セキュリティ研究者であるネリンガ・マチヤウスカイテは「デフォルトパスワードの問題は、漏えいした認証情報のデータセットにおいて最も根深く危険なパターンのひとつです」と述べている。分析によれば「admin」というパスワードは5300万回、「password」は5600万回も使われていたという。マチヤウスカイテいわく「攻撃者もこれらを真っ先に狙うため、もっとも安全性の低いパスワードのひとつになっています」。つまり、まずはこれらを変更することが迅速かつ有効な対策である。
パスワードを絶対に使い回さないことも極めて重要だ。マチヤウスカイテは「複数のプラットフォームで同じパスワードを再利用すると、あるシステムが侵害された際、ドミノ倒しのように他のアカウントの安全まで脅かされる可能性があります」と警鐘を鳴らす。実際、既存のシステムが侵害されていなくても、攻撃者はよくあるパスワードのパターンを利用し続けることができる。「攻撃者は常に最新の認証情報ダンプを収集し、公開されたインフォスティーラーのデータや新たに解読されたハッシュを入手しています」と同氏は結論づける。「これにより、高度で効果的なクレデンシャル・スタッフィング攻撃が続発し、従来のセキュリティ防御を容易にバイパスしてしまうのです」。
■サイバーセキュリティ業界への公開書簡 ― 流出パスワード問題を止めるには
MetaCert(メタサート)のCEOであり、2004年にW3Cモバイルウェブ・イニシアチブを共同設立したポール・ウォルシュは、悪意あるメッセージングの問題に関して豊富な知見を持ち、それを防ぐためのインターネット標準策定にも関わってきた。ウォルシュによると、2025年3月にメタサートが実施した最新の全国SMSフィッシングテスト(AT&T、ベライゾン、Tモバイル、ブーストモバイルなどが参加)でも、結果は残念なものだったという。「すべてのフィッシングメッセージが配信されました。ブロックや警告表示、書き換えは一切行われなかったのです」とウォルシュは語る。
ProofPoint(プルーフポイント)の報告によれば、2024年にはメールを上回る規模でモバイル端末を標的にしたフィッシングが増加したとされる。多くのサイバー攻撃が、どのプラットフォームであれフィッシングによって始まる以上、ソーシャルエンジニアリングの問題を解決すれば流出パスワードの蔓延を大幅に抑えられる可能性は高い。ウォルシュは「なぜSMSフィッシングの問題がこれほど長い間放置されてきたのか」と問いかける公開書簡をサイバーセキュリティ業界に向けて記している。
ウォルシュいわく「サイバーセキュリティ業界には、メールセキュリティやエンドポイント保護、ネットワーク防御の専門家は数多くいますが、SMSインフラとセキュリティに関する深い知見を持つ人材は明らかに不足しています」。この書簡は「メールや企業ネットワーク向けフィッシング対策で数十億ドル(数千億円)規模のビジネスを築き上げてきたセキュリティベンダー」に対する行動要請だという。「しかし、地球上で最も信頼されている通信チャネルであるSMSは、依然として保護されていない標的のままです」とウォルシュは述べる。メールセキュリティと同程度の対策をSMSにも適用すべきであり、「犯罪者はすでに本格的に動いているにもかかわらず、業界は対応できていない」のだと警告する。サイバーセキュリティ業界全体が真剣に取り組まない限り、この先もパスワード流出にまつわる報道が絶えないだろうと筆者も危惧している。
組織犯罪の活性化
■懸念はパスワードからパンダへ
セキュリティ研究チームであるResecurity(リセキュリティ)の最新報告によれば、SMSフィッシングの脅威がいかに危険であるかが改めて示されている。リセキュリティは少なくとも2023年から活動している「Smishing Triad(スミッシング・トライアド)」という犯罪組織を追跡してきたが、このグループは中国のサイバー犯罪者集団であり、世界的な規模での犯行を企てているという。Smishing Triadは近年一般的になった「Crime-as-a-Service(犯罪をサービスとして提供する)」モデルを採用し、複数の関連組織が協力して世界中の被害者を狙っている。
リセキュリティによると、中国に拠点を置くひとりの脅威アクターでさえ、1日に最大200万件のフィッシングSMSを配信できる可能性があるという。Smishing Triad全体では「月に6000万件、年間では7億2000万件の攻撃が可能で、アメリカの全人口を年に2回ずつ狙える規模だ」と報告されている。ポール・ウォルシュが懸念を示しているように、Smishing Triadは通信事業者のSMSゲートウェイだけでなく、アップルのiMessage、RCS(リッチコミュニケーションサービス)を利用可能なグーグルのGoogle メッセージも活用してフィッシングを拡散している。
では、ここからどのように「パンダ」の話が出てくるのか。リセキュリティは3月、新たに「Panda Shop(パンダショップ)」というスミッシングキット(訳注:スミッシングは、SMSメッセージを悪用したフィッシングを指す)を確認したが、これはSmishing Triadのサービスと同様の手口を用いているとみられる。リセキュリティの報告によれば、Panda Shopキットは複数のテレグラム(Telegram)チャンネルやインタラクティブボットを使い、アップルのiMessageやAndroidのGoogle メッセージを通じて自動的にサービスを提供しているという。さらに、脅威アクターは大量の不正取得済みGmailアカウントやアップルアカウントを購入し、フィッシングメッセージの配信を支援しているとみられる。
「Smishing Triadと同様に、Panda Shopも任意のサーバーに展開可能なカスタマイズ済みのスミッシングキットを提供している」とリセキュリティは報告している。同社の調査チームは、このPanda Shopというグループ自体が、Smishing Triadの元メンバーを一部含んでおり、「公に非難されたあと、新たなブランド名へ移行した可能性が高い」と結論づけている。実際、Panda Shopのフィッシングキット構造やスクリプトの動作パターンは、以前のキットと酷似しており、特定の改良や新しいテンプレートを追加している点を除けばほぼ同じだという。
リセキュリティによれば、Smishing TriadやPanda Shopなどの中国の脅威アクターが行うスミッシング攻撃の規模は非常に大きい。「スミッシングによる犯罪は、従来のカード詐欺やNFCの悪用などから資金洗浄チェーンにまで及び、盗んだ資金を処理できるようにしている」と同社は指摘する。標的となるのはパスワードだけではなく、その先にあるあらゆるデータや他のサービスへのアクセス権も危険にさらされるのだ。「リセキュリティが世界中の金融機関と関わった経験に基くと、こうした活動による損失は年間で数百万ドル(数億円)規模に達している」と報告は結んでいる。
