広範なデータ漏洩で「13億件のユニークなパスワード」が流出
グーグルがGmailの巨大なセキュリティ侵害を示唆する誤報を公に否定してから、ほんの数日しか経っていないのに、またしても恐ろしく大きな数字が現れ、誤報の連鎖を招きかねない状況になっている。メールアドレスは20億件、ユニークなパスワードは13億件、そのうち6億2500万件のパスワードはこれまで漏洩が報告されていないものだ。私たちは本当に注意を払っているのだろうか。
Have I Been Pwnedのトロイ・ハントが、今回も新たな警告の発信源である。彼は「データ侵害に関する大げさなニュース見出しは嫌いです」と述べたうえで、「しかし『メールアドレス20億件』という見出しが誇張だと言うためには、事実が誇張または過大評価である必要があります。今回はそうではありません」と語った。
Gmailの侵害ではない
ハントはGmailに関する誤報の当事者ではないが、同じ過ちの再発を止めたいと考えている。「これはGmailの侵害ではありません」と彼は強調する。「当たり前のことを重ねて言うのは心苦しいですが、数週間前にスティーラーログ(情報窃取マルウェアの取得ログ)から、ばかげた、完全に虚偽のニュースが生み出された経緯があるため、はっきりと言わなければなりません」。
Gmailは最大のメールプラットフォームであり、新たに登場したデータでも最も多く含まれている。「ユニークなメールアドレスが3億9400万件」です。つまり、ハントによれば、「このデータセットの80%はGmailとまったく関係がなく、Gmailアドレスが占めている20%も、グーグル側のいかなるセキュリティ脆弱性とも無関係です」ということになる。
グーグルが推奨する防御策は「二要素認証(2FA)の有効化とパスキーの利用」
グーグルの助言は明確であり、Gmailの利用有無にかかわらず誰にでも当てはまる。「二要素認証(2FA)を有効にし、パスワードのより強力で安全な代替としてパスキーを採用してください。そして、今回のように大規模なパスワード漏洩が見つかった場合はリセットしてください」ということだ。
攻撃者は、あなたのパスワードを使って堂々とログインする
この手の話は今後も続く。毎週、毎月のようにだ。現実として、あなたのパスワードやメールアドレスの一部は、ほぼ確実にオンラインのどこかで漏洩している。これは、ウェブサイトやサービスの侵害か、あなたの所有するデバイスに感染したインフォスティーラー型マルウェアによる可能性がある。いずれにせよ、結果は同じだ。
ハントは今回の発見について「これまでに処理した中で最も群を抜いて広範なデータセットです」と述べる。認証情報窃取の業界とのイタチごっこに勝つことはできないだろうし、「ハッカーはこじ開けるのではなく、ログインします」という格言を念頭に置くべきだ。しかし、ほぼすべてのティア1のウェブサイトやプラットフォームは、利用者が安全に過ごせるようツールを提供している。残念ながら、多数のユーザーはいまだに自らのセキュリティを強化していない。
玄関の鍵穴に鍵を差したままにしているのと同じ
端的に言えば、パスワードとメールの組み合わせだけで守るのは、自宅の玄関の鍵穴に鍵を外側から差しっぱなしにしておくのと同じである。自宅でそんなことをしないなら、オンラインでもしてはならない。パスワード単体より良いものなら何でもましであり、そのためにマイクロソフトは10億超のアカウントからパスワードを完全に削除することに全力を挙げている。
二要素/多要素認証(2FA/MFA)を必ず設定すべき
そこまでやる必要はない──そして現時点ではGmailなどの全ユーザーはそこまでできないかもしれない──そんな人は、すべてのアカウントで二要素/多要素認証(2FA/MFA)を必ず設定すべきだ。選択肢がある場合はSMS(ショートメッセージ)は使わないこと。テキストは安全ではない。最良で最も簡単なのは、スマートフォン上の認証(authenticator)アプリだ。主要ベンダーのものであればどれでも問題ない。
さらに良い防御策は、パスキー
繰り返しになるが、さらに良い防御策は、対応するすべてのアカウントにパスキーを追加することだ。グーグル、マイクロソフト、メタ、アマゾンは設定を容易にしている。アップルも同様だが、独自の、いわばアップルらしい方法で行っている。これはアカウントの安全性をハードウェア認証に結びつけ、攻撃者やマルウェアがあなたの認証情報を盗み出して自分のデバイスで使うことを不可能にする。
これらの簡単な対策を講じれば、あなたのパスワードがデータ漏えいに含まれていても、それを悪用されることはないと自信を持ってニュースの見出しを読めるようになる。これらの変更を行わないのであれば、逆のことが成り立つ。あなたはいま、深刻なリスクにさらされている。
