ESETは7月9日(米国時間)、運営するセキュリティ情報のポータルサイト「WeLiveSecurity」の記事「Billions of stolen passwords for sale on the dark web|WeLiveSecurity」において、150億以上のアカウント情報がサイバー犯罪市場で販売されているというDigital Shadowsの研究チームによる調査結果を伝えた。
これらのアカウント情報のうち50億は一意のものであり、中には金融サービスのアカウントや企業の主要なシステムの管理者アカウントなども含まれているという。
調査結果によれば、サイバー犯罪市場に流出しているアカウント情報のほとんどは消費者のもので、その多くは無料で提供されているが、販売されているケースも少なくないとのこと。その場合、価格はアカウントの種類によって大きく変動する。
例えば、メディアストリーミングサービスやソーシャルメディアのログインアカウントは安いが、金融サービスやウイルス対策プログラムにアクセスするアカウントは高く販売される。企業の主要システムのアカウントは、オークションにかけられるなどしてプレミアム価格で販売されるケースもあるという。
これらのアカウント情報は、データベースのハッキングやフィッシング、キーロガーなどのマルウェアによる侵害などによって不正に取得される。そのほかに、最近ではアカウントの乗っ取りそのものをサービスとして提供するケースも出現しているという。この場合、犯罪者はアカウント情報を購入する代わりに限られた時間だけIDをレンタルして使用する。
WeLiveSecurityでは、これらのアカウント情報の流出や、不正利用による被害のリスクを軽減するために、次のような対策を取ることを推奨している。
- 複数のサービス間でパスワードを使い回さない。
- 多要素認証を利用する。
- 使用しているサービスで不正利用が発覚した場合、同じパスワードを使用しているすべてのサービスでパスワードをすぐに変更する。同じバリエーションのパスワードを使っているサービスがある場合はそれも変更する。
- フィッシングに気をつける。不審なリンクや添付ファイルをクリックしない。
- 評判の良いセキュリティソリューションを利用する。
多要素認証はアカウントを保護する上で有効な手段のひとつだが、SMSベースの2段階認証は既にSMSハイジャック(SIMハイジャック)などの回避手段が横行しているため、他の多要素認証技術を選択することが推奨される。