従業員パスワードの漏洩により、フォーチュン 500 企業がハッカーにさらされる

個人の写真が含まれている iCloud アカウントがハッキングされた場合は別問題です。あなたのオフィスの資格情報がオンラインに漏洩したために、フォーチュン 500 企業がデータ侵害に遭った場合は、また別の状況になります。

フォーチュン誌が総収益でランキングした米国の上場企業上位500社のリストであるフォーチュン500社のうち221社では、ハッカーが盗んでサイバー攻撃に再利用できるように従業員の資格情報がオンラインで公開されているとの最新情報が明らかになった。研究ウェブインテリジェンス会社 Recorded Future による。

企業、特にフォーチュン 500 企業のような非常に機密性の高いターゲットは、ハッカーからネットワークを保護するために多大な費用を費やしていますが、従業員がオフィスの資格情報を不用意に使用して、たとえばゲームフォーラムにサインアップした場合、それが無駄になる可能性があります。

関連項目:

機密情報はフォーラムや Pastebin などのテキストリポジトリにあり、ユーザー名とパスワードのダンプの肥沃な場所となります。の研究者記録された未来は、2014 年 1 月 1 日から 10 月 8 日までに投稿された資格情報を求めて約 600,000 の Web サイトを調査しました。分析中に、フォーチュン 500 企業の 44% で少なくとも 1 つのユーザー名とパスワードの組み合わせが見つかり、これらの企業は、 Recorded Future の CEO 兼共同創設者である Christopher Ahlberg 氏は、Mashable にデータをネットワークに侵入したり、フィッシングやソーシャルエンジニアリング攻撃を仕掛けたりするために使用すると語った。

アールバーグ氏によると、こうした資格情報のダンプは企業の管理外にあるという。このデータは、企業のサーバーへの侵害ではなく、従業員が会社の電子メールを使用して何かにサインアップしたサードパーティのサイトから取得された可能性があります。たとえばここ数年、ハッカーたちは違反したAdobe や Forbes などの Web サイトやサービス。

注意点の 1 つは、サードパーティのサイトで使用されているパスワードが、従業員の企業アカウントで使用されているパスワードと一致するかどうかを知る方法がないことです。言い換えれば、フォーチュン 500 企業の従業員の情報がオンラインに投稿される可能性はありますが、その情報が必ずしも妥協の成功につながるとは限りません。

「サードパーティのサイトから取得した認証情報が有効かどうかは、コイン投げのようなものです」と、このレポートの主任研究員であるスコット・ドネリー氏はMashableに語った。「しかし、特定の企業からの 10 件や 20 件があれば、有効なものがある可能性が高くなります。」

レポートに掲載されている221社の内訳は以下の通り。

からのデータ残念-221.silk.co

しかし、従業員のユーザー名とパスワードを持っているだけでは必ずしも十分ではありません。ハッカーはそれらをどこで使用するかを知る必要があります。場合によっては、一部の公益事業会社の Web メールのログインページが簡単に検索できることも Recorded Future が発見しました。グーグルそのため、従業員の資格情報が侵害された場合、これらの企業はさらに脆弱になります。

アールバーグ氏とドネリー氏によると、報告書には企業名も個人名も挙げられておらず、レコーデッド・フューチャー社はまだどの企業にも通知していないという。彼らによると、研究の目的は、大企業も大規模なパスワード漏洩の影響を受けないわけではないことを示すことだという。

私たちは最近その証拠を目にしました。

2 週間前、あるハッカーが次のように主張しました。捨てられた700 万の Dropbox ユーザー名と認証情報。 9月初旬の別の例では、500万のユーザー名とパスワードロシアのフォーラムに掲載されました（ただし、その情報は以前のさまざまなハッキングから得られたものと思われます）。そして8月には警備会社が主張したロシアのハッカーによって盗まれた12億ドルの認証情報を発見したが、同社の報告書は争われた。

これらのダンプの問題は、Gmail や Dropbox などのサービスが関与していない場合でも同じです。それは、パスワードの再利用の危険性です。常に同じパスワードを再利用する場合、ハッカーは Gmail パスワードを取得するために Google に侵入する必要はありません。代わりに、Fantasy Football フォーラムから入手できます。だからこそフェイスブック発表された同社は先週、パスワードが侵害された場合にユーザーに通知するために、ダンプされた資格情報をホストするサイトを積極的に捜索していることを明らかにした。

アールバーグ氏とドネリー氏は、おそらくさらに多くの企業が侵害された可能性があるが、それらの従業員の資格情報は公表されていないと警告している。

「私たちはウェブの裏側についてかなり詳しく報道していますが、これらは公開された投稿にすぎません」とドネリー氏は言う。「私たちは、情報がそこに眠っているため、誰かが扉を開けて企業を悪用することがいかに簡単であるかを強調しています。しかし、まだ公開されていない情報があることは間違いありません。」

関連記事

サイケデリックな SF 映画の隠されたメッセージを「Sorry to Bother You」にキャスト

変化のためのハッキング: 変化をもたらす可能性のある 17 のアプリ

フリーランサー: デスクから離れやすくする 6 つのソリューション

リーアム・ニーソンは実際、ブルー・スティールをかなり上手に演じている

ツイッターは討論会を中止。 Twitterが私の手を強制する

Cortana vs. Siri: 仮想アシスタントの戦い