Credential Leaks - When Passwords Go Public

About 2 min read

クレデンシャル漏洩とは、ユーザー名、パスワード、API キー、セッショントークンなどの 認証情報が、本来アクセスすべきでない第三者の手に渡ることを指します。データ漏洩の中でも 特に深刻なカテゴリであり、漏洩した認証情報はクレデンシャルスタッフィング攻撃の 燃料となって、被害が雪だるま式に拡大します。

漏洩経路

クレデンシャルが漏洩する経路は多岐にわたります。最も大規模なのは データベース侵害で、サービス提供者のサーバーが攻撃を受け、 ユーザーの認証情報が一括で流出するケースです。ハッシュ化されていない 平文パスワードが保存されていた場合、被害は即座に拡大します。フィッシングは 個人を標的とした漏洩経路として依然として最も効果的で、 偽のログインページに認証情報を入力させる手口が主流です。キーロガーやスパイウェアなどの マルウェアによる窃取、そして内部犯行 (従業員による持ち出し) も 無視できない経路です。

コンボリストとダークウェブでの売買

漏洩した認証情報は「コンボリスト」と呼ばれる形式に整理されます。 メールアドレスとパスワードの組み合わせを 1 行 1 件で列挙したテキストファイルで、 数億件規模のリストがダークウェブの マーケットプレイスで売買されています。価格は鮮度と規模によって異なり、 直近の漏洩で未検証のリストは高値で取引されます。 攻撃者はこれらのリストを自動化ツールに投入し、 複数のサービスに対して大量のログイン試行を行います。 パスワードを使い回しているユーザーは、1 つのサービスの漏洩が すべてのアカウントの侵害につながるため、パスワード使い回しのリスクを 正しく理解することが重要です。

Have I Been Pwned の仕組みと活用法

セキュリティ研究者 Troy Hunt が運営する Have I Been Pwned (HIBP) は、 過去の漏洩事件で流出したメールアドレスやパスワードを検索できる無料サービスです。 2024 年時点で 130 億件以上の漏洩アカウント情報がデータベースに登録されています。 HIBP のパスワード検索 API は k-Anonymity モデルを採用しており、 パスワードの SHA-1 ハッシュの先頭 5 文字だけをサーバーに送信し、 該当するハッシュの一覧を受け取ってローカルで照合する仕組みです。 これにより、検索対象のパスワード自体がサーバーに送信されることはありません。 企業のセキュリティチームは HIBP の API を認証フローに組み込み、 漏洩済みパスワードでの登録をブロックする運用が推奨されます。information security books on Amazonでも漏洩対策の体系的な知識を得られます。

漏洩後の被害連鎖

クレデンシャル漏洩の被害は、最初の漏洩で終わりません。 漏洩した認証情報を使ったクレデンシャルスタッフィング攻撃により、 パスワードを使い回している他のサービスのアカウントが次々と乗っ取られます。 乗っ取られたアカウントからさらに個人情報が抜き取られ、スピアフィッシングの 材料として悪用されるという連鎖が発生します。 金融サービスのアカウントが侵害されれば直接的な金銭被害に、 メールアカウントが侵害されればパスワードリセットを経由して あらゆるサービスが危険にさらされます。

企業と個人それぞれの対応策

企業側の対策としては、パスワードのソルト付き ハッシュ保存 (bcrypt や Argon2 の使用)、漏洩検知システムの導入、インシデントレスポンス計画の 策定が基本です。データ漏洩対応ガイドも 参考にしてください。 個人の対策としては、パスワードマネージャーで サービスごとに固有のパスワードを生成し、二段階認証を 有効にすることが最も効果的です。HIBP の通知機能に登録しておけば、 自分のメールアドレスが新たな漏洩事件に含まれた場合に即座にアラートを受け取れます。ダークウェブでのパスワード漏洩の 実態も把握しておくと、対策の優先度を正しく判断できます。