これは驚くべき統計であるだけでなく、マルウェアを使用して情報を盗む攻撃の急増に対する警鐘でもあります。

190億件のパスワード漏洩が示す驚くべき現実

わずか12か月間（2024年4月以降）で約200件のセキュリティインシデントにより、19,030,305,929件のパスワードを含むデータベースが盗まれました。

このデータベースは、特定の電子メール アドレスに関連付けられたパスワードのみが含まれており、ハッカーが悪用できる状態になっているため、特に危険です。

サイバーニュース研究グループの新たな分析により、恐ろしい真実が明らかになりました。190億個のパスワードのうち、一意のものはわずか6%です。これは、残りのパスワードの 94% が複数のアカウントやサービスで再利用されており、ハッカーが簡単に大量アクセスできるようになることを意味します。

さらに、パスワードの 42% は 8 ～ 10 文字のみで構成され、27% は小文字と数字のみで構成され、特殊文字や大文字は含まれていません。

これらのパスワードは、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃の手法を使用すると非常に簡単に解読できます。

報告書によると、「admin」（出現回数5,300万回）や「password」（5,600万回）などのデフォルトパスワードは依然として広く使用されており、サイバー犯罪者の最大の標的となっている。

「デフォルトパスワードの問題は、漏洩した認証情報データセットの中で最も根強く残る危険なパターンの1つです」と、サイバーニュースのセキュリティ研究者であるネリンガ・マチヤウスカイテ氏は強調した。

SMS詐欺との戦い

MetaCertのCEOであり、W3C Mobile Web Initiativeの共同設立者でもあるポール・ウォルシュ氏は、パスワード盗難につながる主な方法の1つであるSMSフィッシングの防止におけるサイバーセキュリティ業界の無力さを批判した。

ウォルシュ氏は、サイバー攻撃のほとんどはフィッシングから発生すると主張している。

セキュリティ研究グループ Resecurity のレポートは、スミッシングの脅威をさらに明らかにしています。

Resecurityの調査により、この攻撃に関与した「スミッシング・トライアド」と呼ばれるサイバー犯罪者グループは少なくとも2023年から活動しており、1日あたり最大200万件の不正SMSメッセージを送信し、年間7億2000万人の被害者を狙っていることが判明した。

スミッシング トライアドの支部または後継組織と思われる別の組織が、Telegram チャンネルと自動ボットを使用してスミッシング サービスを提供しています。

彼らは主にAppleのiMessageとAndroidのRCSプラットフォームを介して配布しており、大規模なキャンペーンを推進するために、侵害されたGmailとAppleのアカウントを大量に購入しています。

これらのグループのスミッシング ツールキットはカスタマイズ可能で、任意のサーバーに展開できるため、驚くほどの洗練度と操作規模が明らかになっています。

予期せぬ結果

スミッシングはパスワードを脅かすだけではありません。また、クレジットカード詐欺、非接触型決済（NFC）詐欺、複雑なマネーロンダリングチェーンを助長し、世界中の金融機関や個人ユーザーに毎年数百万ドルの損失をもたらしています。

パスワード盗難やオンライン詐欺と戦うには、各個人の警戒心を高めることと、ますます巧妙化する脅威からユーザーを保護するためにサイバーセキュリティ業界全体がより強い取り組みをする必要があることは明らかです。

抜本的な対策を講じなければ、何十億ものパスワードが侵害されたという報告が今後も出続けるだろう。

専門家は、ユーザーが自分自身を守るために以下の行動を直ちに取る必要があると警告しています。

パスワードを再利用しない: これは最も重要な推奨事項です。パスワードを再利用すると、1 つのシステムの侵害が他の多数のアカウントの侵害につながり、危険な「ドミノ効果」が生じる可能性があります。

デフォルトのパスワードをすぐに変更する: これは、ハッキングされるリスクを軽減するための迅速かつ効果的な対策です。

強力で一意のパスワードを使用します。大文字、小文字、数字、特殊文字を組み合わせます。複雑なパスワードを生成し、安全に保存するには、パスワード マネージャーの使用を検討してください。

出典: https://dantri.com.vn/cong-nghe/19-ty-mat-khau-bi-danh-cap-duoc-cong-khai-de-doa-nghiem-trong-nguoi-dung-20250506235452360.htm