ビデオ: 株式会社博展 - 東芝実績動画 (九月 2024)
今週初め、Trustwaveは、Ponyボットネットコントローラーを使用して管理された多くのボットネットの1つで、彼らの研究を発表しました。 研究者は、ボットネットの制御を獲得し、コマンドアンドコントロールサーバーの代わりになりました。 制御すると、ボットネットが感染したコンピューターから約200万個のパスワードを盗むことができたことを発見しました。 彼らはまた、私たちのほとんどがすでに知っていることを発見しました。人々はパスワードが恐ろしいということです。
パスワードを取得する
200万の侵害されたアカウントは、158万のWebサイト資格情報、320, 000の電子メールログイン、41, 000のFTPアカウント、3, 000のリモートデスクトップ資格情報、3, 000のSecure Shellアカウント資格情報に広がっています。 もちろん、懸念事項は、影響を受けるユーザーの何人が他のサイトに同じパスワードを選択したかです。
研究者は、Facebookの318, 121の資格情報を発見しました。これは、全体の57パーセントを占めています。 Yahooは次に約60, 000アカウント、続いて21, 708個のTwitterアカウント、8, 490個のLinkedInパスワード、および給与プロバイダーADP用の7, 978個のアカウントがありました。 この最後のものは少し珍しいですが、攻撃者が被害者の個人情報にアクセスできるようになるため、非常に有害です。
最も怖かったのは、16, 095のGoogle.com資格情報と54, 437のGoogleアカウント資格情報でした。 これらにより、攻撃者はGmailにアクセスし、そこからWebサイトの「パスワードを忘れた」機能を使用して他のパスワードをリセットできます。 また、攻撃者がGoogleドライブのプライベートファイルにアクセスしたり、Googleウォレットの支払い情報にアクセスしたりする可能性もあります。
これは、これらのサイトに対する大規模な攻撃があったことを意味するものではありません。 犯罪者がフィッシングやキーロガーなどの複数の手段を介してこれらのアドレスを収集し、これらのサーバーに保存していた可能性が高くなります。 他のバイヤーに販売したり、将来の使用のために保存したりすることができます。
ひどいパスワード、再び
Trustwaveはパスワードをカテゴリに分類しました。パスワードの6%は「ひどい」もので、28%は「悪い」ものでした。 合わせて22パーセントが「良い」または「優秀」であり、44パーセントが「中」でした。 最悪なのは、123456、123456789、1234、および「パスワード」です。
ほとんどのパスワードには、文字と数字が混在していませんでした。 パスワードの大部分は、すべて文字(大文字と小文字)またはすべて数字であり、その後に2種類のパスワード(大文字と小文字の組み合わせ、または小文字と数字の組み合わせなど)が続きました、とTrustwave氏は言いました。
良い発見の1つは、パスワードのほぼ半分(46%)が10文字以上の長いパスワードを持っていたことです。 Trustwaveによると、パスワードの大部分は6〜9文字の範囲内でした。
注目度の高いターゲット
AccessDataのエンタープライズデータアーキテクトであるLucas Zaichkowskyに関する限り、より大きな懸念は、犯罪者が「価値の高いターゲット組織の」人々に属するアカウントを探すことです。 これらの人々が仕事関連のリソースと同様にこれらのサイトで同じパスワードを使用したことが判明した場合、攻撃者はVPNまたはWebベースのクライアントを介した電子メールを介して企業ネットワークに侵入することができるとZaichkowksyは指摘した。
「彼らは貴重な口座を闇市場にいる他の人々に売ることができます。彼らは有効な資格情報を得るために高額のお金を払って、収益性の高いターゲット組織に送り込みます」
Facebookのアカウントへのサインアップなどの個人的な活動には、仕事用のメールアドレスを使用します。 IOActiveのCTOであるCesar Cerrudoは、将軍や中将(「将軍」、Cerrudoは彼らと呼んだ)を含むさまざまな軍人が.milメールアドレスを使用して旅行サイトOrbitz、GPS会社garmin.com、Facebook、いくつか例を挙げると、Twitter、Skype。 これらの個人はターゲットとして非常に価値があり、多くの機密情報にアクセスできるため、これによりパスワードの再利用の可能性がさらに問題になります。
しかし、QualysのエンジニアリングディレクターであるMike Shemaは、将来に希望があると考えています。 「2014年に向けて、2要素認証はエンタープライズおよびコンシューマテクノロジー全体で勢いを増し続け、多くのアプリも2要素を採用し始めます。また、マルチ認証パスワード用のスマートクリプトエンジニアリングの台頭が見られます。 」 2要素認証には、テキストメッセージ経由で送信される特別なコードのように、2番目の認証手順が必要です。
安全を保つ
一般的なコンセンサスは、これらのパスワードはユーザーのマシンから取得され、サイトからログイン情報を盗むことではないということです。これは快適なペースの変化です。 キーロガーは容疑者であり、特に危険です。 これらの悪意のあるアプリケーションは、キーストロークをキャプチャできるだけでなく、スクリーンショット、クリップボードのコンテンツ、起動するプログラム、アクセスするサイト、IM会話や電子メールスレッドを選別することもできます。 幸いなことに、ほとんどのウイルス対策ソフトウェアがあなたをカバーしてくれるはずです。 Editors 'Choice賞を受賞したWebroot SecureAnywhere AntiVirus(2014)またはBitdefender Antivirus Plus(2014)をお勧めします。
一部のAVプログラムは、デフォルトで「グレーウェア」または「潜在的に不要なプログラム」をブロックしません。キーロガーはこのカテゴリに分類されることがあるため、この機能を有効にしてください。
被害者をだましてパスワード情報を提供するフィッシングやその他の戦術は、ブロックするのが困難です。 幸いなことに、フィッシング攻撃を発見する方法と回避する方法に関する多くのヒントがあります
最も重要なことは、人々がパスワードマネージャーを使用することです。 これらのアプリケーションは、使用するすべてのサイトまたはサービスに対して一意の複雑なパスワードを作成して保存します。 また、自動的にログインするため、キーロガーが情報を盗むのがはるかに難しくなります。 パスワード管理でエディターズチョイス賞を受賞したDashlane 2.0またはLastPass 3.0をぜひお試しください。
