アカウント情報が流出すると何が起こるのか

アカウント情報が流出すると何が起こるのか、セキュリティリサーチャーが身近で起きた例を紹介した記事です。

HERE'S HOW CRIMINALS HACK YOUR ACCOUNTS AND RUIN YOUR LIFE by 14Charlie

話は、筆者がメールアカウントをハックした犯人かどうか、親戚に聞かれるところから始まります。
当然筆者には覚えがないことでしたが、親戚の話に興味をそそられ、調査することにしました。
ある日、親戚のメールアドレスに、ボスニア・ヘルツェゴヴィナのIPアドレスからのログイン試行があったという通知が届きました。
何者かがYahooメールのアカウントにアクセスした結果、バックアップメールアドレスとして登録したGmailアカウントに通知されたものと考えられます。

筆者は、親戚の個人情報がどの程度オンラインに露出しているか、オンラインのシグネチャがどのように見えているかを知るため、特定のアカウントがインターネット上に流出しているかどうかを調べるサービスHave I Been Pwnedを利用しました。
インターネットには、本来は公開されるべきではない個人情報が大量に蓄積されています。様々な情報漏洩事件で流出した個人情報/アカウント情報が、ハッキング攻撃者がアクセスできる形で公開されています。

今回はHave I Been Pwnedを通して、筆者の親戚のメールアドレスが10以上もの情報漏洩事件で流出していたことが判明しています。
検索結果には情報漏洩事件の発生年月と概要、漏洩した情報の種類が記載されています。
親戚の情報は少なくとも6年以上にわたって出回っていました。漏洩に気付かない期間が長いほど、攻撃に晒される危険性が高まります。

もう少し詳しく、Yahooメールのパスワードの漏洩の有無を調べるために、IntelligenceとDeHashedの2サービスを利用しました。親戚のメールアドレスがパスワードとの組合わせで見つかりました。
さらにそのメールアドレスに関連すると思われるアカウント情報も見つかっています。公開情報に基づく機密情報収集活動、OSINT(オープンソースインテリジェンス)のような調査を行う際は、そういったデータも追跡します。

今回、攻撃者は親戚のメールアカウントにアクセスできませんでしたが、もし成功していれば銀行口座のパスワードを変更する、アカウントを完全に乗っ取るなど、攻撃範囲を広げることが可能だったと考えられます。
また、同じ認証情報を利用して別のメールサービス、SNSにアクセスを試みることも可能です。
そして、収集した情報を基にSIM スワップ攻撃を仕掛ける可能性もあります。

このようなことがあった場合、もっとも有効な対策は、アカウント毎に別のパスワードを設定することです。
サービス毎、アカウント毎に別々のパスワードを設定して記憶するのが無理であれば、パスワードマネージャーを利用できます。
パスワードマネージャーにもデメリットはありますが、パスワードの再利用で自分のアカウントを危険に晒すよりは良いかもしれません。

まずは自分のアカウント情報が漏洩しているかどうか、上記のようなサービスで調査してみてはいかがでしょうか。企業向けのOSINTサービスもあり、リスクを測る手段として近年注目されています。