https://eset-info.canon-its.jp/malware_info/special/detail/220511.html
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
サイバーセキュリティ情報
盗んだパスワードを悪用する方法
- 個人情報を盗み、ほかの犯罪者へ売却する。
- アカウントのログイン情報を販売する。悪意のある購入者は、なりすましによってタクシーの無料乗車券や動画視聴、乗っ取ったマイレージプログラムによる割引航空券など、あらゆるものを入手可能。
- 同じパスワードが使い回されている場合、ほかのアカウントへ不正アクセスするのにパスワードを再利用。
盗む手法
- フィッシングとソーシャルエンジニアリング:ソーシャルエンジニアリングは心理的なトリックで間違った行動を誘発させる手口。フィッシングは最も代表的な手口。攻撃者は友人や家族、取引先などになりすます。受信した電子メールやテキストメッセージには悪意のあるリンクや添付ファイルが含まれており、クリックしてしまうとマルウェアがダウンロードされたり、個人情報を入力するページへ誘導させられたりする。
「ヴィッシング(音声によるフィッシング)」と呼ばれる手法では、サポート窓口になりすますなどして、ログイン情報や個人情報を直接聞き出すよう、電話を用いる。 - マルウェア:フィッシングメール、悪意のあるオンライン広告をクリックさせる(マルバタイジング)、不正なWebサイトを訪問した際(ドライブバイダウンロード)にマルウェアに感染させるなど。マルウェアが潜むモバイルアプリがサードパーティのアプリストアで見つかることも多い。
情報を詐取するマルウェアには、キー入力を記録したり、デバイスのスクリーンショットを撮影するなどして、攻撃者へ転送するものが知られている。 - ブルートフォース攻撃:覚えやすい(そして推測されやすい)パスワードを設定する人が多く、結果として、複数のWebサイトでパスワードの使い回しが起きているため、ブルートフォース攻撃の被害に遭うリスクが高まってしまう。過去に漏えいした大量のユーザー名とパスワードの組み合わせを自動ソフトウェアに読み込ませ、無数のWebサイトに対し、正しいユーザー名とパスワードの組み合わせを見つけようと、試行を続けるクレデンシャルスタッフィング攻撃も頻繁に見られる。
よく使われているパスワードの一覧を作成し、自動ソフトウェアでアカウントへの不正アクセスを試みるパスワードスプレー攻撃も知られている。 - 推測による攻撃:単なる当てずっぽうで十分な場合もある。2020年に最も使われていたパスワードは「123456」、続いて「123456789」であった。4位にランクインしたのは、単に「password」という文字列。
複数のアカウントで同じパスワードを使い回していたり、それに近しい文字列を使っている場合、攻撃がさらに容易となり、個人情報の窃取や詐欺のリスクは高まってしまう。 - ショルダーハッキング:ロックダウンが緩和されて従業員がオフィスに戻り始めると、度々使われてきたオフラインの詐欺手口による被害リスクが高まっている。肩越しに覗き見るショルダーハッキング(ショルダーサーフィンとも言う)のリスクはその例。
公共のWi-Fi接続を監視する攻撃者が、同ネットワークに接続した人がパスワードを入力するのを覗き見る、Wi-Fiネットワークを盗聴する「中間者攻撃」がある。
ログイン情報を保護するには
- すべてのオンラインアカウント、特にオンラインバンキング・電子メール・ソーシャルメディアでは、複雑でユニークなパスワードやパスフレーズを設定する。
- 複数のアカウントでログイン情報を使い回さず、よくあるパスワード設定の誤りを避ける。
- すべてのアカウントで二要素認証(2FA)を有効にする。
- すべてのWebサイトとアカウントにおいて、複雑でユニークなパスワードを設定しながらも、ログインを簡単で安全にできるよう、パスワードマネージャーを使用する。
- データが漏えいしているかもしれないと連絡を受けたら、パスワードをすぐに変更する。
- ログインする際は、HTTPSを使っているWebサイトのみを使用する。
- 見知らぬ送信元から届いた電子メール内のリンクをクリックしたり、添付ファイルを開いたりしない。
- 公式のアプリストアのみからアプリをダウンロードする。
- すべてのデバイスで信頼できるベンダーのセキュリティ製品を導入する。
- すべてのオペレーティングシステムとアプリケーションを最新の状態に保つ。
- 公共の場では、ショルダーハッキングに注意する。
- 公共のWi-Fiではアカウントにログインしない。必要な場合、VPNを利用する。