4,400万人のMicrosoftおよびAzureユーザーが侵害されたパスワードを使い続けている、と新しい調査結果
オンライン企業およびサービスは、日常的に資格情報のスタッフィング攻撃を受け、その結果はしばしば非常に深刻です。脅威は近づいており、セキュリティの専門家はそれについて話すことをやめません。セキュリティベンダーは、明らかに何かを行う必要があり、何が起こっているかをよりよく理解できるようにするために、人々のパスワード管理習慣を調査しています。残念ながら、彼らがそれをやればやるほど、クレデンシャルの詰め込みはすぐに消えることはないでしょう。
たとえば、今年の初めに、Microsoftの専門家は、Azureアカウントを保護するために人々が何をすべきかについてさらに学習しようとしました 。 1つ目は、成功したクレデンシャルスタッフィング攻撃の実行がこれまでになく簡単になったことです。 2つ目は、結果がどれほど恐ろしいものであるかをユーザーが完全に認識していないことです。
以前に侵害されたパスワードを使用していることが判明した4,400万人以上のマイクロソフトのお客様
Microsoftの調査は、専門家がさまざまなオンラインサービスやプラットフォームから盗んだ30億のユーザー名とパスワードのペアを収集した2019年1月に始まりました。次に、Azure ADおよびMicrosoft Servicesユーザーによって作成された資格情報のリストに対してそれらをテストし、 4,400万を超えるアカウントに一致するものを見つけました。
言い換えると、今年の第1四半期に、30億の盗まれたログイン資格情報にアクセスできた人は、4,400万人以上のアカウントを簡単に引き継ぐことができたでしょう。これはあまりにも恐ろしいことであり、真実ではありません。あなたの一部はすでに異議を唱えていると確信しています。彼らは、30億のユーザー名とパスワードの組み合わせを取得することは、通常のサイバー詐欺師にとってほとんど不可能だと言うかもしれません。残念ながら、これは真実とは程遠い。
盗まれたログイン認証情報は、 暗いウェブマーケットプレイスやピーナッツのハッキングフォーラムで販売されています。最近、サイバー犯罪グループが簡単な設定ミスを行い、ハッカーと膨大なログインデータの間にあるものはすべて単純な検索クエリであることを示しました。
全体として、この日と時代において、クレデンシャルスタッフィング攻撃を組織化することはまったく難しくありません。パスワードセキュリティに対するユーザーの過失は、おそらく非常に効果的であることを意味します。しかし、これを変更するにはどうすればよいでしょうか?
マイクロソフトは、侵害されたパスワードを使用する顧客に対してパスワードのリセットを強制します
数字を見た後、マイクロソフトは、侵害された資格情報を使用していたすべての人々に対してパスワードのリセットを直ちに強制しました。侵害されたパスワードを無効にすることで、Azureユーザーに資格情報のスタッフィング攻撃を仕掛けようとする人の前に、かなり大きな障害を置きます。残念ながら、これだけでは問題を完全に解決することはできません。
たとえば、 別の最近の研究が示すように、約半数の人々は、古いパスワードを強制的に更新する必要がある場合、古いパスワードを軽く変更する傾向があります。また、新しいパスワードを作成する手間がかかったとしても、他のアカウントで再利用する可能性があります。
資格情報のスタッフィングは、不十分なパスワード管理に依存しており、事実は、人々がログインデータを正しく処理する方法を知らないことを示しています。意識は、真に表を変えることができる唯一のものです。ユーザーがアカウントを適切に保護する方法を知っていて、自由に使えるツールに精通していれば、同じ古い間違いをすることを避ける可能性が高くなります。
残念ながら、Joe and Joanne Averageを教育する努力は計り知れませんが、Microsoftの調査および他の同様の調査では、進行が非常に遅いことが示されています。