2025 年 8 月 27 日 Iratxe Vazquez 著

先日、160 億件を超えるパスワード、クッキー、トークンが流出しました。これは史上最大級のデータ侵害です。Google、Apple、Facebook、Amazon、Microsoft を含むサービスからのデータが含まれていた今回の大規模流出事件は、ひとつの明白な結論を示しています。それは、認証情報は、重要なデータを侵害する際の最初のステップである、ということです。

今回の流出の懸念は単に件数の大きさにとどまりません。真の懸念は、多くの認証情報が流出した大元が、数百万人が日常的に利用しているデジタル環境の一部であるプラットフォームであったということです。このようなデータの大半は、特殊なマルウェア（保存されたパスワード、クッキー、アクティブセッションを抽出するために設計されたもの）を用いて窃取されました。そして最終的にその盗難情報はダークウェブに流れつき、デジタル ID が商品として取引されています。

この大規模なインシデントは、すでに最新の データ侵害レポート (DBIR) によって示されている傾向を、改めて強調するものです。同レポートは、セキュリティ侵害の 68% が認証情報と関連しているという事実を示しています。これは、企業環境における初期の攻撃ベクトルとしては、認証情報が中心的役割を果たしているという状況を如実に物語っています。

この状況をふまえ、ダークウェブはこのような種類のデータの世界的取引市場として確立されており、盗難された認証情報の売買に加え、自動化された AI ツールが出回っています。攻撃者にとっては、認証情報を非常に悪用しやすい環境です。これは企業のみならず MSP にも直接的な影響を及ぼし、特にユーザがパスワードを使い回している場合や、リモートアクセスに追加認証が導入されていない場合、そのようなシステムは、自動化されたアクセス試行の格好の標的になります。

流出から防御へ：盗まれた認証情報リスクを抑える方法

レポートによると、盗まれた認証情報はすぐに利用されるわけではなく、数週間から数か月間放置された後に悪用されることが多いとされています。ここに時間的猶予があります。可視性とインテリジェントなアクセス制御という 2 つの原則に基づく有効な防御を構築してあれば、この猶予期間の間に対策を取ることができます。

第一に必要なのは、社員、顧客、システムの認証情報がダークウェブ上に公開された場合に、即座に通知するツールを備えておくことです。それにより、侵害が起きた後に反応するのではなく、予防的な対応が可能になります。この点において、ダークウェブ上の認証情報モニタリングは大きな効果を発揮します。攻撃者に認証情報が利用される前にそれを検知し、隔離、無効化が可能となります。また、企業や MSP が手作業に頼らずに大量のデータをリアルタイムで分析できるので、ダークウェブのみならずフィッシング攻撃の際も、流出情報を検知できるようになります。その結果、認証情報がすでに侵害されて、ダークウェブで売買されている場合でも、パスワード変更を要求するなどのリスク低減策を講じることができます。

継続的なダークウェブ監視に加え、認証情報を使って容易にシステムにアクセスされることを防ぐ強固なアクセス制御も必須です。多要素認証（MFA）の導入や、リアルタイムのリスク分析に基づく適応型モデルの実装を行うと、たとえ認証情報が流出していたとしても不正アクセスを阻止できます。これによって企業や MSP はクリティカルな環境の保護を強化するとともに、システム全体に対する継続的なセキュリティの保証を提供できます。

AI とダークウェブによって、盗難された認証情報の悪用はますます容易になり、加速しています。そのような時代において、認証情報の保護は単なる技術上の対策にとどまりません。「ID 管理と監視をサイバーセキュリティ戦略の中心に据える」という発想の転換が求められています。これは侵害そのものに対応することだけでなく、攻撃者の動きを先読みし、影響を最小化し、対応のための時間を稼ぐということにも直結します。効果的な認証情報の保護へと投資することは、信頼の維持、業務の安全確保、そして事業継続性を守るために、極めて重要な役割を担っているのです。