今年2月から3月にかけて、グーグルが、ユーザー名とパスワードの組み合わせがウェブサイトのデータベースから盗まれ漏洩していないかをチェックする「Password Checkup」というChrome拡張機能をリリースした後、業界とスタンフォード大学のコンピュータ科学者らは、このアドオンをインストールした67万人から匿名のテレメトリを収集した。
金曜日、Google の Kurt Thomas、Jennifer Pullman、Kevin Yeo、Ananth Raghunathan、Patrick Gage Kelley、Luca Invernizzi、Borbala Benko、Tadek Pietraszek、Sarvar Patel、Elie Bursztein、およびスタンフォード大学の Dan Boneh という科学者たちが、USENIX セキュリティ カンファレンスでデータ収集の結果を説明する論文を発表しました。
「パスワード侵害警告によるクレデンシャル スタッフィングからのアカウント保護」と題された論文 [PDF] によると、Web 上のログインの約 1.5% に、オンラインで公開されたクレデンシャルが関係していることが明らかになっています。
「この測定期間中、2,100万回以上のログインのうち1.5%が、漏洩した認証情報に依存していたために脆弱であったことを検出した。つまり、ユーザー2人に1人に対して1件の警告だ」と論文は述べており、この数字は2017年の調査で6.9%だったのに比べて大幅に低いことを指摘している。
28日間で、316,531件のログインに認証情報の漏洩が見られました。ユーザーに送信された警告は約4分の1(26%)の割合で無視され、これらの通知によりパスワードのリセットも約26%の割合で発生しました。
研究者らは、3つの説明の可能性を示唆している。ユーザーは、新しいパスワードを採用するリスクに見合うだけの労力を費やしていない可能性がある。ユーザーがアカウントを完全に制御していない可能性がある(例:共有の世帯アカウント)。パスワードのリセット方法に関するガイダンスが不十分である。
パスワードマネージャーがしてはいけないことは何でしょうか?パスワードを漏らすなんて?LastPass、素晴らしいアイデアですね
続きを読む
セキュリティに関するアドバイスは無視される可能性があるにもかかわらず、研究者らは「実用的なセキュリティ情報を表面化させることが、アカウント乗っ取りのリスクを軽減する上でいかに役立つかを、私たちの研究結果は浮き彫りにしている」と結論付けている。
論文のタイトルが示唆するリスクは、クレデンシャル スタッフィングです。これは、簡単に入手できる公開された認証情報のセット (特定の Web サイトから収集したユーザー名とパスワード) を収集し、再利用されたログイン詳細を見つけることを目的として、大量の他の Web サイトでそれらの認証情報を使用しようとするコードを作成することを伴います。
クレデンシャルスタッフィング攻撃が流行っているのは、オンラインデータベースに侵入されたアカウントが多数存在するためだ。インターネット調査大手の Akamai によれば、ユーザー名とパスワードの組み合わせは 250 億件に上るという。
同社は今年、この問題に関する報告書の中で、2018年には毎日数億件のクレデンシャルスタッフィング攻撃が実行され、ピーク時には3日間で2億5000万件のブルートフォースログイン試行があったと述べている。
Googleとスタンフォード大学の研究者たちは、Password Checkup拡張機能のユーザーが、74万6000以上のドメインでハッキングされた認証情報を使い回していることを発見した。「ハイジャックのリスクが最も高かったのは動画ストリーミングサイトとアダルトサイトで、ログインの3.6~6.3%が侵害された認証情報に依存していた」と論文は述べている。
Googleは、Chromeに漏洩したパスワードをチェックする機能がブラウザ利用者全員にとって有益だと確信しているようだ。Chromiumのバグレポートによると、この機能は将来のアップデートに組み込まれる予定だ。®
