サイバー脅威インテリジェンス プロバイダーの Digital Shadows による新しいレポートでは、アカウントの乗っ取り (Account Take Over、略して ATO) に関連して世界中で漏洩したログイン データの範囲が明らかになりました。 ダーク Web では、24 億を超えるユーザーとパスワードの組み合わせが流通しています。
世界の人口と比較すると、これはインターネット ユーザー 2020 人あたり 65 つの公開アカウントに相当します。 したがって、XNUMX 年以降、盗まれて開示された認証情報の数は約 XNUMX% 増加しています。
ダークウェブのログインデータ: 65% 増加
公開されたデータの大部分は個人と消費者に関するもので、銀行口座やオンライン小売業者からストリーミング サービスやソーシャル メディア、企業ポータルに至るまで、さまざまなアカウントのユーザー名とパスワードが含まれています。 発見されたログインデータのうち合計 6,7 億件が「ユニーク」に分類され、ダークウェブのマーケットプレイスで初めて販売されたのは 2020 回だけです (5 年: 34 億件、+XNUMX%)。
侵害されたログイン データは、主にダーク Web 上の関連する市場やフォーラムを通じて提供されます。 ここでは、過去 18 年間でサイバー犯罪エコシステムの範囲と専門性が大幅に拡大しました。 漏洩したアクセス データ、マルウェア、クラッキング ツールに加えて、関心のある顧客は、アカウントの乗っ取りに関連するサブスクリプション サービスやプレミアム サービスを利用することもできます。 過去 6,7 か月だけでも、Digital Shadows のアナリストは、複数のプラットフォームで宣伝されている顧客のログイン資格情報に関する XNUMX 万件のインシデントを特定しました。 これには、従業員、パートナー、顧客、およびさまざまなサーバーや IoT デバイスのユーザー名とパスワードが含まれます。
パスワードの衛生状態の欠如により、攻撃者にとって簡単になります
この調査によると、最大のセキュリティ上の欠点は、依然としてパスワードの衛生状態の欠如です。 インターネット ユーザーは、推測しやすいパスワード (「password」など) と単純な数字の並びを使い続けています。 したがって、ほぼ 200 番目のパスワード (0,46%) は「123456」です。 コンピューターのキーボード上で近接している文字の組み合わせ (「qwerty」、「1q2w3e」など) も人気があります。 最も一般的な 50 のパスワードのうち、49 は 50 秒以内にクラックできます。 これを行うために必要なツールの一部は、ダーク Web でわずか XNUMX ドルで入手できます。
特殊文字 (@、# など) を追加しても、ログイン データのハッキングを遅らせることはできますが、必ずしも防止できるわけではありません。 Digital Shadows によると、特殊文字を 90 つだけ含む 4 の部分からなるパスワードは、サイバー犯罪者に平均 XNUMX 分多くの時間を費やします。 特殊文字が XNUMX つあるため、ハッカーはさらに XNUMX 日と XNUMX 時間を必要とします。
パスワードレスの未来が来なければならない
「業界はパスワードレスの未来に向けて大きく前進しています。 しかし、現時点では、資格情報が侵害されるという問題は制御不能になりつつあるようです」と、Digital Shadows のシニア サイバー脅威インテリジェンス アナリストである Chris Morgan 氏は述べています。 「犯罪者は、漏えいしたり盗んだりした認証情報の無限のリストを自由に使えるようにしており、パスワードを選択する際のユーザーの創造性の欠如を喜んでいます。 これにより、自動化された使いやすいクラッキング ツールを使用して、アカウントを数秒で乗っ取ることができます。 調査の一環として調査したケースの多くは、一意で強力なパスワードを割り当てることで回避できた可能性があります。」
詳しくは DigitalShadows.com をご覧ください
デジタルシャドウについて
Digital Shadows は、オープン ウェブ、ディープ ウェブ、ダーク ウェブ全体で意図せずに漏洩したデータを追跡し、組織が外部の脅威にデジタルでさらされることを最小限に抑えるのに役立ちます。 SearchLight™ を使用すると、企業はデータ保護規制に準拠し、知的財産の損失を防ぎ、風評被害を回避できます。