Have I Been Pwned(データ侵害通知サービス)に大量の認証情報が追加されたとされる記事が目に止まりました。
盗まれた認証情報は、ユーザー名とパスワードおよびそれに関連するURLとCookieです。
3億6100万件の認証情報のうち、1億5100万件はHave I Been Pwnedで確認されていない情報だったようです。
この背景として、攻撃者はマルウェアによる攻撃よりも認証情報の窃取による初期侵入を重視している流れがあるのかもしれません。
EDRなどに代表されるデバイスセキュリティが普及し、攻撃者は認証情報を盗み堂々と正規のプロセスで初期侵入を実施し、そこにある情報を使う、または潜伏し攻撃のタイミングを伺っている可能性があります。
今回の認証情報の窃取方法は、ソーシャルメディア、改変されたソフトウェア、侵害済みのゲーム会社のサポートサイトから送信された悪意ある電子メールキャンペーンによりマルウェアを感染させたとされています。
ここで怖いのが、ユーザーが社用PC以外の自分のPCで感染している可能性があるということです。もし、社内で使用しているパスワードがユーザーが使っているサービスのパスワードの使い回しだった場合、どんなに社内PCにデバイスセキュリティを入れていても認証情報は盗まれてしまいます。
対策としては以下が考えられます。
・動的ポリシーによるアイデンティティの確認
・守りたいデータには多要素認証
・パスワードレス対策の導入
・セキュリティ教育
多要素認証も攻撃者に突破される事例が増えてきています。多要素認証していたら安心という考えは改めなければなりません。
