innovaTopia

Tech for Human Evolution

巨大パスワードリーク「RockYou2024」がセキュリティ警鐘を鳴らす

巨大パスワードリーク「RockYou2024」がセキュリティ警鐘を鳴らす - innovaTopia - (イノベトピア)

Last Updated on 2024-07-09 07:05 by admin

7月4日、ハッカー「ObamaCare」によって、約100億個のユニークなプレーンテキストパスワードが人気のハッキングフォーラムにリークされた。

これらのパスワードは、過去の様々なブリーチから収集されたものである。このリストは、ファイル名「rockyou.txt」にちなんで「RockYou2024」と名付けられた。

研究者によると、このリストは攻撃者がブルートフォース攻撃を行うためのある程度の価値はあるが、実際にはこのような膨大な数のパスワードを試みることを許可するウェブサイトはほとんどないため、攻撃には現実的ではない。

しかし、パスワードが再利用されている場合、他のブリーチからのデータと組み合わせることで、成功する可能性のあるクレデンシャルスタッフィング攻撃につながる可能性がある。

Specops SoftwareのシニアプロダクトマネージャーであるDarren Jamesは、「データセットは特定のハッシュを解読する努力の一環としては現実的には使用できるほどのものではなく、攻撃で成功するには低品質なデータが多すぎる」と述べている。

ユーザーは、パスワードを再利用しない、ユニークで複雑なパスワードを使用し、可能な場所では多要素認証(MFA)を実装することで安全を確保できる。

Jamesは、組織はこのリークについて心配するよりも、パスフレーズの奨励、実際にコンプロマイズされたパスワードに対する保護、カスタムブロックリストを用いたターゲットされたワードリスト攻撃に対する防御などのベストプラクティスに焦点を当てるべきだと助言している。

【編集者追記】用語解説

  • クレデンシャルスタッフィング攻撃
    盗まれたユーザー名とパスワードの組み合わせを使って、複数のウェブサイトやサービスに自動的にログインを試みる攻撃手法です。「クレデンシャル」は認証情報、「スタッフィング」は詰め込むという意味で、盗んだ認証情報を次々と試すことからこの名前がついています。
  • ブルートフォース攻撃
    総当たり攻撃とも呼ばれ、可能性のあるパスワードの組み合わせをすべて試すことでアカウントへの不正アクセスを試みる攻撃手法です。「ブルートフォース」は「力ずく」という意味で、文字通り力任せにパスワードを解読しようとする攻撃です。
  • 多要素認証(MFA):
    パスワード以外の追加の認証要素(スマートフォンへの通知、指紋認証など)を使用してセキュリティを強化する方法です。複数の要素を組み合わせることで、一つの要素が漏洩しても不正アクセスを防ぐことができます。

【参考リンク】
Specops Softwareオフィシャルウェブサイト(外部)

【関連記事】

データ漏洩とサイバー攻撃の波紋:Ticketmasterから国家レベルの脅威まで

サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

7月4日に、ハッカー「ObamaCare」によって約100億個のユニークなプレーンテキストパスワードが人気のハッキングフォーラムにリークされました。これらのパスワードは、過去に発生した様々なデータ侵害から収集されたもので、「RockYou2024」という名前のファイルにまとめられています。この名前は、ファイル名「rockyou.txt」に由来しています。

このリークされたパスワードリストは、攻撃者がブルートフォース攻撃(無差別にパスワードを試す攻撃)を行う際にある程度の価値があるとされています。しかし、その膨大な数のため、実際にはウェブサイトがこのような攻撃を許可することはほとんどなく、攻撃には現実的ではありません。ただし、パスワードが再利用されている場合、他のデータ侵害からの情報と組み合わせることで、成功する可能性のあるクレデンシャルスタッフィング攻撃(既知のIDとパスワードの組み合わせを使って不正ログインを試みる攻撃)につながる可能性があります。

Specops SoftwareのシニアプロダクトマネージャーであるDarren James氏は、このデータセットは特定のハッシュ(暗号化されたパスワード)を解読するためには現実的に使用できるほどのものではなく、攻撃で成功するには低品質なデータが多すぎると述べています。ユーザーがパスワードを再利用しない、ユニークで複雑なパスワードを使用し、可能な場所では多要素認証(MFA)を実装することで、安全を確保できるとしています。

James氏はまた、組織はこのリークについて心配するよりも、パスフレーズの奨励、実際にコンプロマイズされたパスワードに対する保護、カスタムブロックリストを用いたターゲットされたワードリスト攻撃に対する防御などのベストプラクティスに焦点を当てるべきだと助言しています。

この事件は、パスワードの管理とセキュリティの重要性を改めて浮き彫りにしています。パスワードの再利用や単純なパスワードの使用は、個人情報の漏洩や不正アクセスのリスクを高めるため、ユニークで複雑なパスワードの使用、パスワードマネージャーの活用、多要素認証の導入など、セキュリティ対策の徹底が求められます。また、組織においては、従業員へのセキュリティ教育の強化や、セキュリティポリシーの見直しといった対策が重要となります。

from 10B Passwords Pop Up on Dark Web ‘RockYou2024’ Release.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 巨大パスワードリーク「RockYou2024」がセキュリティ警鐘を鳴らす