Telegram のコンボリスト漏洩は、3 億 6,100 万件のアカウントが盗まれた重大なデータ侵害のため、最近サイバーセキュリティ界で注目の的となっています。パスワード窃盗マルウェア、クレデンシャル スタッフィング攻撃、データ侵害など、さまざまなソースから収集されたこれらの認証情報は、現在、Have I Been Pwned (HIBP) データ侵害通知サービスに追加されています。
この開発により、ユーザーは自分のアカウントが侵害されたかどうかを確認できるようになりました。このブログでは、Telegram コンボリストの複雑さ、膨大な量のデータを収集するために使用される方法、およびこれらの侵害の影響について詳しく説明します。
Telegramコンボリストの仕組み
コンボリストは「コンビネーション リスト」の略で、さまざまなソースから盗まれた、または漏洩したユーザー名とパスワードをまとめたものです。これらのリストはサイバー犯罪コミュニティ内で頻繁に配布され、クレデンシャル スタッフィング攻撃などの悪意のある活動に使用されます。これらの攻撃では、サイバー犯罪者は自動化ツールを使用して、盗んだ認証情報を複数の Web サイトでテストし、ユーザー間でのパスワードの再利用という一般的な慣行を悪用します。
Telegram コンボリストは、本質的には、Telegram 上のサイバー犯罪コミュニティ内で流通している、盗まれた認証情報 (ユーザー名とパスワードの組み合わせ) の大規模なコレクションです。サイバーセキュリティ研究者は、これらのリストを共有することに特化した多数の Telegram チャンネルを特定しました。これらのリストは、サイバー犯罪コミュニティ内で評判を高め、加入者を引き付けるために使用されています。
Telegram は、暗号化されたメッセージ、大規模なグループ容量、比較的匿名性が高いことから、サイバー犯罪者がコンボリストを配布するための人気のプラットフォームとなっています。研究者は、これらのリストを共有することに特化した多数の Telegram チャネルを発見しており、悪意のある攻撃者がこのデータにアクセスして、さらなる攻撃に使用することが容易になっています。
これらのコンボリストのデータは、さまざまなソースから取得されます。
- クレデンシャルスタッフィング攻撃サイバー犯罪者は、ユーザーがさまざまなサービス間でパスワードを再利用することが多い可能性につけ込み、自動化ツールを使用して、盗んだ資格情報で複数の Web サイトにログインしようとします。
- データ侵害ウェブサイトやサービスへの大規模なハッキングにより、ユーザーの資格情報が漏洩することになります。
- パスワード窃盗マルウェアこのタイプのマルウェアはデバイスに感染し、保存されているユーザー名とパスワードを盗みます。多くの場合、関連する URL やその他の閲覧データも盗みます。
研究者らは匿名を条件に、複数のTelegramチャンネルから大量のデータ(122GBの認証情報)を集め、HIBPの創設者トロイ・ハント氏と共有した。ハント氏は、このデータセットには3億6100万件の固有のメールアドレスが含まれており、そのうち1億5100万件はこれまでHIBPサービスでは見られなかったものであると確認した。
大規模データ侵害の分析
Telegram のコンボリスト侵害は、3 億 6,100 万件を超える固有の電子メール アドレスが公開され、前例のない規模に達しました。この情報の山は膨大であるだけでなく、非常に詳細で、電子メールとパスワードの組み合わせだけでなく、これらの認証情報に関連する URL も含まれることがよくあります。このようなデータは、パスワードを盗むマルウェアなどの高度な手段によって盗まれることがよくあります。
パスワードを盗むマルウェアはデバイスに侵入し、次のような機密情報を抽出します。
- ユーザー名とパスワード
- クッキー: セッションをハイジャックするために使用できるデータ。
- URL: 盗まれた資格情報に関連付けられた Web サイト。
Telegram コンボリストを通じて流通するデータは、ログにまとめられ、サイバー犯罪市場で共有または販売されます。このデータを共有する研究者の匿名性を考えると、各認証情報の正当性を検証するのは膨大な作業であることは明らかです。しかし、ハントはパスワードリセットフォームを使用して漏洩した電子メールアドレスの多くを検証し、リストされているウェブサイトとの関連性を確認しました。
手つかずのサイトは残らない
データ セットの規模から判断すると、ログインを許可するほぼすべてのサイトが影響を受ける可能性があります。大企業から小規模なフォーラムまで、これらの認証情報の範囲は広範です。サイバー セキュリティに特化したサイトである BleepingComputer も、このデータ侵害に関与していました。BleepingComputer フォーラムに関連付けられた認証情報は、情報窃盗マルウェアによって盗まれており、このタイプのマルウェアがもたらす脅威が広範囲に及んでいることが浮き彫りになりました。
情報窃取マルウェアは、デバイスに侵入し、機密情報を盗み取り、それを攻撃者に送り返すことで動作します。このタイプのマルウェアは、通常、次の方法で配布されます。
- ソーシャルメディア: マルウェアのダウンロードにつながるメッセージ内のリンクまたは添付ファイル。
- クラックされたソフトウェア: 海賊版ソフトウェアにはマルウェアがバンドルされていることがよくあります。
- 偽のVPN製品: 正規の VPN サービスを装った悪意のあるアプリケーション。
- メールキャンペーン: 悪意のある添付ファイルやリンクを含むフィッシングメール。
影響を受けたユーザーは、ブラウザのパスワード マネージャーに保存されているすべてのパスワード、および同じ認証情報を使用している他のアカウントをすべてリセットするという困難な作業に直面することがよくあります。これらの侵害には通常、タイムスタンプがないため、ユーザーはブラウザに保存されているすべての認証情報が侵害されたと想定する必要があります。
情報窃取マルウェアは、ランサムウェアからデータ窃盗まで、さまざまな攻撃を助長しており、サイバーセキュリティにおける大きな課題となっています。コスタリカ政府や Microsoft、CircleCi などの企業を標的とした、注目を集めた侵害の多くは、このタイプのマルウェアによって盗まれた認証情報に起因しています。このマルウェアは、ブラウザ履歴や暗号通貨ウォレットなど、さまざまなデータを取得できるため、サイバー犯罪者にとって強力なツールとなっています。
盗まれたデータは、サイバー犯罪市場で販売されるか、別のアカウントへの侵入に直接使用されます。この盗難と悪用の継続的なサイクルにより、パスワードを頻繁に変更しているユーザーでさえも繰り返し侵害される可能性がある、永続的な脅威環境が生まれます。
Telegramコンボリストとデータ侵害の現実に直面
Telegram コンボリストの 3 億 6,100 万件のアカウントの大規模な漏洩は、サイバー犯罪の冷酷さと、情報窃盗マルウェアがもたらす絶え間ない脅威を浮き彫りにしています。Have I Been Pwned などのサービスは、ユーザーが露出をコントロールするための重要なツールを提供していますが、デジタルプレゼンスのセキュリティを確保することは依然として困難です。URL や Cookie など、漏洩したデータの細分性は、堅牢なサイバーセキュリティ対策と絶え間ない警戒の必要性を浮き彫りにしています。
サイバー犯罪者が脆弱性を悪用し、盗んだデータを Telegram などのプラットフォームで共有し続ける中、強力で固有のパスワードを使用し、ソフトウェアを定期的に更新し、潜在的なマルウェアのソースに注意を払うことの重要性は、いくら強調してもし過ぎることはありません。認証情報の盗難やデータ侵害との戦いは続いており、世界中のユーザーからの認識と積極的な対策が必要です。
注目の画像クレジット: ilgmyzin / Unsplash
