100億件近いパスワードが漏洩…ハッカーの攻撃から身を守る方法は?
データ漏洩は、デジタル時代の必然です。オンラインにアカウントを持っていれば、パスワードを探り当てられずに被害を免れることは、ほぼ不可能です(だからこそ、2要素認証の使用がとても重要となってきます)。 とはいえ、自分のパスワードの一部がどこかに漏れていると自覚していることと、私たちのパスワードが何十億個も集められ簡単に入手可能になっているとわかっていることは、まったく次元が違います。 まさにこうした事態が起きていることを、ある最新調査が示しています。TechRadarが伝えているように、ある調査チームが「rockyou2024.txt」というテキストファイルを発見。そこには、100億件近くものユニークなパスワードがすべてプレーンテキストで保存されていたというのです。 つまり、このファイルにアクセスできれば誰もが、PDFと同じ要領で、そのリストを検索して、ありとあらゆるパスワードを解明できるわけです。 このファイルは、一夜にして実現できるようなものではありません。そこに含まれているパスワードは、過去20年間に起きたさまざまな攻撃や漏洩ケースから集められたものです。2021年から今年にかけてだけでも、15億件ものパスワードが、このファイルに追加されました。 しかも、これらはどれもユニークなパスワードであり、重複していません。とにかく、理解の範疇を超えるものすごい数です。
パスワード漏洩の何が危険なのか?
このリストさえあれば誰でも、Command+Fを押すだけで、どんなパスワードでも検索できます。これだけでも十分に恐ろしいことですが、本物の危険が潜んでいるのはそこではありません。特定のパスワードを探して試そうとすれば、とんでもない時間がかかるだけでしょう。 むしろ危険なのは、このようなリストをハッカーが使えば、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃ができてしまうという点です。 ブルートフォース攻撃とは、ハッカーが大量のパスワードを立て続けに試して、アカウントへの侵入を試みる手口のことです。 クレデンシャルスタッフィング攻撃もこれと似ていますが、こちらの手口では、漏洩した認証情報(既知のユーザーネームとパスワードの組み合わせなど)を、ほかのアカウントに対して利用します。複数のアカウントに同じパスワードを使うユーザーが多いからです。つまりパスワードの使い回しはやめましょう。 もちろん、ハッカーはこれらの攻撃を手動で行なうわけではありません。コンピューターを使います。だから、何百万ものパスワードを試して、アカウントへの侵入を試みることができるのです。 100億件というユニークなパスワードのデータベースがあれば、ハッカーは個人と組織の両方に対して、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃を思う存分仕掛けることができるでしょう。