SpyCloudが2022年に発見した流出認証情報、7億2,150万件

headless 曰く、　2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ(ニュースリリース、Neowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ

　関連ストーリー：
パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 2022年10月14日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日