ESETは6月2日(現地時間)、「Don’t let dormant accounts become a doorway for cybercriminals」において、長期間使用していない休眠アカウントの取り扱いについて注意を呼びかけた。

長年インターネットを活用していると、使わなくなったWebサイトのアカウント、無料トライアルに応募した際のアカウントなどが増える傾向にある。これらアカウントは本人にとってあまり重要でないが、ESETはセキュリティリスクになるとして定期的な管理を促している。

危険をはらんでいる休眠アカウント

オンラインサービスの多くは、その利用に専用アカウントの作成を求める。有料サービスの場合は支払い情報の管理のために必須となるが、無料サービスもさまざまな事情によりアカウント作成や個人情報の入力を求める傾向にある。

前者については資産に直結する情報を含むため、ユーザー自身による徹底した管理を期待することができる。しかしながら、後者は忘れがちで休眠状態になる可能性があるという。

Googleは自社サービスにおける休眠アカウントについて、取り扱いを定めた「非アクティブアカウントポリシー」を公開しているが、2023年公開の更新情報の中で次のように述べている(参考:「Updating our inactive account policies」)。

「当社の分析によると、放置されたアカウントはアクティブなアカウントに比べて2段階認証が設定されている可能性が少なくとも10倍低いことが分かっています。つまり、これらのアカウントは脆弱であることが多く、ひとたび侵害されると、個人情報の窃取やスパムのような悪意のあるコンテンツに悪用など、あらゆる目的に利用される可能性があります」

休眠状態のアカウントには個人所有以外にも、企業所有のアカウントも含まれる。ESETによると、休眠状態の企業アカウントは脅威アクターにとって魅力的な標的とされ、過去に複数のランサムウェア事案を引き起こしたとされる。

休眠アカウントの大掃除が必要

GoogleやMicrosoftなどの大手オンラインサービスプロバイダーは、長期の休眠アカウントを自動的に削除(閉鎖)する措置を講じている。しかしながら、すべてのサービスプロバイダーが同様の措置を講じているわけではなく、休眠アカウントを放置するサービスプロバイダーも存在する。

ESETはリスクを伴う休眠アカウントについて、積極的な対策を講じる必要があるとして、すべてのインターネットユーザーに次の対策の実施を推奨している。

  • 定期的に所有する休眠アカウントを調査して削除する。調査方法の一つとして、メールから「ようこそ」、「登録ありがとうございます」、「アカウントを検証」などのキーワードで検索する方法を提案している
  • パスワードマネージャー(Webブラウザを含む)を利用している場合は、休眠アカウントにひもづいているパスワードを探してアカウントを削除する

また、休眠アカウントを維持したいユーザーに向けて、次の対策を推奨している。

  • 古いアカウントは脆弱または流出したバスワードを利用している可能性がある。これらを一意で強力なパスワードに更新する
  • 多要素認証(MFA: Multi-Factor Authentication)を有効にする

ESETは多くのインターネットユーザーが、数十もの休眠アカウントを所有している可能性があるとして、年に1度は大掃除するように呼びかけている。アカウントの侵害は本人の個人情報流出だけではなく、サイバー攻撃につながることがある。インターネット全体のセキュリティ向上のために、休眠アカウントの積極的な削除が望まれている。