サイバー攻撃者に盗まれたデータはどこにいく？

Check Point Software Technologiesは11月1日(米国時間)、「Are you re-using passwords across web platforms? Think again! Stolen credentials databases are a flourishing underground market - Check Point Software」において、サイバー攻撃者に盗まれた認証情報の行方について伝えた。サイバー攻撃者が侵害されたWebサイトから不正に入手した認証情報をデータベース化し、ダークWeb市場で流通させていると伝えている。

サイバー攻撃者の多くは窃取した認証情報のデータをもとに、「コンボリスト(combo lists)」と呼ばれる電子メールアドレスとパスワードのリストだけの巨大なデータベースを作成するといわれている。その多くは、企業の電子メールアカウントとサードパーティサービスで使用されたパスワードのリストとされており、2021年に公開されたRockYou2021と呼ばれる史上最大のコンボリストでは、80億以上のユニークな電子メールアカウントとパスワードのセットが含まれていたことが判明している。

コンボリストを売買するため、サイバー犯罪者たちによって多くの地下コミュニティやダークWeb市場も作られている。これらのアンダーグラウンドでは貴重な認証情報のセットも販売されており、高値で取引されている。英語圏の著名なアンダーグラウンドコミュニティでは、この半年間で盗まれたデータベースに関するスレッドが3,500以上、メールアカウントとパスワードだけを含むコンボリストに関するスレッドが1,500以上開設されたことが確認されており、それぞれ数百万から数億の認証情報のセットが含まれている可能性があるといわれている。

ダークWeb市場で販売されているコンボリストは、クレデンシャルスタッフィング攻撃に活用されている。クレデンシャルスタッフィング攻撃は電子メール、銀行口座、ソーシャルメディア、企業アカウントなどのユーザーアカウントを乗っ取るための一般的なテクニックの一つとされており、コンボリストを使用してWebアプリに対して大規模な自動ログイン要求を行い、アカウントに不正アクセスすることを目的にしている。

売買されているデータベースやコンボリストの中には、従業員がサードパーティのWebサイトに登録するために使用するパスワード付きの企業メールアカウントのセットも多く含まれているという。 個人用と企業用のアカウントで同じパスワードが使用されている場合、一つのアカウントが侵害されると複数のアカウントにアクセス可能になるため、サイバー攻撃の被害が拡大し、組織のサイバー攻撃への脆弱性が高まることになると警告している。