FBIが6億3000万件の盗まれたパスワードを公表──今すぐ自分のパスワードをチェックする方法
今週はこれ以上サイバーセキュリティに関する悪いニュースはないだろうと思った矢先に、FBIが驚くべきデータベースを発見したことを明らかにした。ハッカーから押収した複数のデバイスに、6億3000万件もの侵害されたパスワードが含まれていたのだ。ここでは、知っておくべきポイントと、自分のパスワードが危険リストに含まれているかどうかを確認する方法を説明する。
■FBI、押収したハッカーのデバイスから6億3000万件の盗まれたパスワードを発見
巧妙な漏えい情報確認サービスであるHave I Been PwnedおよびPwned Passwordsの創設者であるトロイ・ハントが公表したところによれば、米連邦捜査局(FBI)が、侵害された6億3000万件のパスワードの膨大なリストをハントに引き渡したという。またそれらは、すでに1700億件もの侵害済みアカウントが登録されているHIBP(Have I Been Pwned)データベースに追加されたと明かした。FBIはここ4年間、サイバー犯罪捜査の過程で突き止めた侵害パスワードをハントに提供してきたが、ここで懸念すべきであると同時にほとんど信じがたいのは、今回の最新の収穫がたった1人のハッカーに由来するという点だ。
「今回のデータ群は、FBIがある容疑者の複数のデバイスを押収した結果として、私たちの手に渡ったものです」とハントは述べ、「サイバー犯罪の規模は、それを毎日相手にして生きていても、なかなか実感しがたいほどです」と付け加えた。これには「まったくその通り」と言うほかない。
どうやら、この侵害パスワードは、公開ウェブおよびダークウェブ(匿名性の高い領域)のマーケットプレイス、Telegramのチャンネル、そして言うまでもなくインフォスティーラー攻撃(情報窃取型マルウェアによる攻撃)から集められたもののようだ。
当然のことながら、FBIがハントに引き渡した6億3000万件の認証情報のすべてが、いわゆる「市場」にとって真新しいものというわけではない。そして実際のところ、HIBPチームによる初期分析の結果からも、そのことが裏付けられている。「全体のうち約7.4%は、これまでHIBPで見たことがないものだった」とハントは確認し、「割合としては小さく聞こえるかもしれないが、それでも4600万件の脆弱なパスワードにあたり、これまでサービス利用者がブロックできるようにしてこなかったものだ」と述べた。
■自分のパスワードがリストに載っているかを確認する方法
良いニュースとしては、盗まれた認証情報、つまり侵害されたパスワードのすべてが、今では1か所から検索可能になっているという点だ。言い換えれば、自分のパスワードが含まれているかどうかを知るまで、あと数秒のところにいるということである。
Pwned Passwordsサービスにアクセスし、自分のパスワードを入力するだけでよい。心配する必要はない。同サービスは完全に安全であり、あなたのパスワードを危険にさらすことはない。むしろその逆である。「どのパスワードも、メールアドレスのような個人を特定できるデータと並べて保存されることはない」とハントは述べ、「すべてのパスワードはSHA-1でハッシュ化されている」と説明する。
最も重要なのは、アカウントがクレデンシャルスタッフィング攻撃(流出したIDとパスワードを他サービスに大量投入して試す攻撃)の被害に遭う前に、すでに侵害されているパスワードを変更できるよう、今すぐこの確認を行うことだ。
また、パスワードマネージャーを使うことも勧めたい。それから、対応しているすべてのアカウントでパスキーを有効化しておくべきである。さらに、すべてのアカウントで二要素認証を有効にするという、少々面倒な作業もある。FBIが次の大規模な盗難パスワードの山を見つけるのは時間の問題にすぎないので、そのときも安全でいられるようにしておくべきだ。
■このFBIの発見を無視してはいけない――今すぐパスワードマネージャーを使うべきだ
すでにパスワードマネージャーを使うべきだと述べたが、それは本当に安全なのか、という疑問は当然出てくる。特に、パスワードマネージャーのデータ侵害や最新のハッキング攻撃についての報告記事を公開した後には、この質問を頻繁に受ける。筆者の答えはいつも同じだ。「はい、間違いなく安全です」。元ハッカーとしての経験、そして明確な理由があって、そこに一片の迷いもない。
パスワードの使い回しと弱いパスワードは、ハッカーの仕事を格段に楽にする。これは信じてほしい。両者は決して互いに排反ではなく、むしろその逆である。人々が弱いパスワードを使うのは、本当にランダムで、本当に複雑で、本当に強力なパスワードは、よほどの記憶力の持ち主でもない限り、覚えるのがほぼ不可能だからだ。
とはいえ、まったく不可能というわけではない。筆者自身、自分のパスワードマネージャーのボールトを解錠する、25文字以上からなるランダムなマスターパスワードを暗記している。ただし、キーボードが目の前にないと、それが何であるかを正確に言葉で説明することはできない。これは筋肉の記憶によるものだと、自分では呼んでいる。最初の5文字さえ覚えていれば、あとは自動的に指が動くのだ。
しかし、仮にそのパスワードをすべてのアカウントで使い回すのであれば、それはもはや強固とはいえない。どれか1つのアカウントが侵害されれば、すべてが侵害されるからだ。
■パスワードマネージャーを使って、FBI由来かどうかにかかわらず侵害された認証情報をチェックする方法
●Chrome用のGoogle パスワード マネージャー
筆者としては、ブラウザー内蔵型ではなくスタンドアロン(独立型)のアプリを好むが、完全にグーグルのエコシステムにコミットしているユーザーであれば、おそらくすでにChrome用のGoogle パスワード マネージャーを利用しているだろう。ユーザー体験の観点からこれは悪いことではなく、使い勝手の良さや、仕事や余暇の流れを中断させないことは、一般ユーザーの間でより強力なセキュリティを普及させるうえで重要である。そしてありがたいことに、これによってグーグル・パスワードチェックアップツールも利用できるようになる。このツールは、ユーザーが保存したパスワードを、ダークウェブ上やその他のコレクションに含まれる侵害認証情報のデータベースと照合してくれるだけでなく、一歩進んで、複数のアカウントで同じパスワードを使い回している場合(どうかそれはやめてほしい)、あるいはパスワードが弱く、その結果としてクレデンシャルスタッフィングや総当たり(ブルートフォース)型のハッキング攻撃のリスクにさらされている場合にも警告してくれる。
●アップル純正の『パスワード』アプリ
一方、iPhoneユーザーで、アップル純正の『パスワード』アプリが気に入っているのであれば、こちらもパスワードの露出状況を監視してくれる。「漏洩の危険があるパスワードを検出」機能により、どのパスワードがデータ漏えいで侵害された可能性があるかを、アカウントやパスワード自体をアップルに開示することなく明らかにできる。データ漏えいに含まれた可能性があると判断されたパスワードについては、警告通知が表示される。アップルは「実際のパスワードがアップルと共有されることは決し てなく、パスワードから計算された情報をアップルが保存することもない」と説明している。
●1Password
1Passwordのようなサードパーティ製パスワードマネージャーアプリも、侵害認証情報の確認を容易にしてくれる。これらは、侵害された認証情報のチェックにHave I Been Pwnedデータベースを利用している。1PasswordのWatchTower機能は、単一のウィンドウでパスワードのセキュリティ監査ダッシュボードをユーザーに提供する。 このダッシュボードは全体的なパスワードスコアを表示するが、こうした種類の「お楽しみ」的な指標は、実際に役に立つという意味ではあまり意味を持たないので、おそらく無視して構わない。同様に、全体的なパスワード強度メーターも、個々のパスワードについては作成時点ですでに把握しているはずなので、さほど重要ではない。
しかし、ダッシュボード内の、アカウントを持っている侵害済みウェブサイトの数と詳細へのリンク、パスワードの使い回し、弱いパスワード、暗号化されていない(HTTPのままの)ウェブサイト、無効のままの二要素認証といった項目は、いずれも非常に重要だ。
●Proton
正直にいうと、筆者はProtonエコシステムのファンであり、徐々にGmailをProton Mailに、他のVPN(Virtual Private Network。仮想プライベートネットワーク)アプリをProton VPNに、Google CalendarをProton Calendarに、といった具合に置き換えてきた。Protonのフルスイートには、その名のとおりProton Passというパスワードマネージャーアプリも含まれている。これにはPass Monitor機能もあり、ダークウェブモニタリングを通じて、第三者サービスに影響を与えたデータ侵害によって自分の個人情報が漏えいしていないかをチェックできるほか、弱いパスワードや使い回しパスワードの監査も行う。
■需要なのは、信頼できるベンダーのパスワードマネージャーを使うこと
しかし最終的には、どのパスワードマネージャーを使うかはそれほど重要ではない。重要なのは、何かしらのパスワードマネージャーを使っていること、そしてそれが信頼できるベンダーのものであることだ。筆者としては、ウェブブラウザーの一部として提供されるものよりも、スタンドアロンのマネージャーやアプリを常に推奨している。ブラウザーとパスワードマネージャーの間に、ある程度の分離があった方がよいと考えるからである。また、アップル純正の『パスワード』アプリも、筆者の意見では、商用アプリである1Passwordと同じくらい良い選択肢である。
この最新のFBIの警告を無駄にしてはいけない。これをきっかけにパスワード対策をレベルアップすべきであり、それはすなわちパスワードマネージャーを導入することを意味する。それは簡単で、セットアップもすぐに終わる。1度設定してしまえば、パスワードの使い方は格段に安全になる。
