2012 年の LinkedIn のデータ侵害やその他のデータ侵害で漏洩し、複数のアプリやサービスで使用されてきたパスワードが、現在、活発なスパムやフィッシング キャンペーンを促進している可能性があります。
今年初め、Twitterがデータ侵害を受け、ユーザーのパスワードが漏洩した可能性があるという報道がありました。同社はこれらの主張を否定し、漏洩したパスワードは2012年にLinkedInがハッキングされた際に公開されたものと一致していると述べました。これは、侵害されたTwitterアカウントが脆弱だったのは、Twitterの行為によるものではなく、4年以上前に盗まれたパスワードをユーザーが使い回していたためであることを示しています。
LinkedIn 関連のメールフィッシング キャンペーン
デンマークのセキュリティ企業ヘイムダル・セキュリティは、「LinkedIn」を名乗る偽のメールをユーザーに送り、運転免許証やパスポート写真などの書類や支払い領収書の提出を求めるフィッシング詐欺が活発に行われていることを発見した。このメールは、ユーザーを騙して支払い情報を入手するために悪用される可能性がある。
この悪意のあるメールは、これは「あなたを守るための予防措置」に過ぎないと伝え、24時間以内に要求された情報を提供しなければリンクが利用できなくなると警告しています。様々なウイルス対策ツールは、フィッシングメール内のDropboxリンクが「クリーン」であると示しています。これは、これらのセキュリティアプリを開発する企業が、このリンクがフィッシングやマルウェア攻撃の一部であるとはまだ特定していないことを意味します。
Skype スパムとフィッシング キャンペーン
Skypeコミュニティフォーラムの1つのスレッドには、現時点で122ページにも及ぶコメントが寄せられており、インターネット上の投稿を見ると、LinkedIn、Baiduなどのドメインから偽のリンクを受け取ったという報告も寄せられています。これらのリンクはスパムとして利用されているようですが、マルウェアが含まれている可能性もあります。アカウント所有者がオンラインでない場合でも、これらのリンクは自動的に連絡先リスト全体に送信されます。
Skype チームは次のように回答しました。
Skypeコミュニティマネージャーのクラウディウス氏は、Skypeコミュニティフォーラムで次のように述べています。「一部のお客様が経験されているスパム問題への対応に取り組んでいます。ネットワークへの侵入や脆弱性を悪用したマルウェアによる攻撃は発生していませんが、調査の結果、攻撃者は盗まれたユーザー名とパスワードのリストを使用してSkypeアカウントへのログインを試みていることがわかりました。ほとんどの試みはブロックまたは失敗しますが(試行されたユーザー名の多くはSkypeユーザー名として存在しません)、ごく一部は成功しています。」さらにクラウディウス氏は、「この問題は、Skypeで使用しているユーザー名とパスワードの組み合わせを他のサービスでも使用している、または過去に使用していたお客様に影響を与えると結論付けています。これらのお客様は、過去にフィッシング攻撃やその他のサイバー犯罪行為によって、これらの認証情報を盗まれた可能性があります。」と述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
チームは、一部のスパムをブロックするための対策を講じたと述べていますが、攻撃者がSkypeの認証情報を入手している限り、アカウントを利用して悪意のあるリンクを拡散することは可能です。したがって、最善の解決策はSkypeのパスワードを変更することです。また、過去のデータ侵害で漏洩したパスワードを再利用している可能性のある他のサービス、特に古いLinkedInのパスワードを再利用している場合は、これらのサービスでも同様にパスワードを変更する必要があります。
Skypeスパムキャンペーンの原因と、それを阻止できるかどうかについて、Microsoftに新たな知見があるかどうか尋ねました。同社は最近LinkedInを買収したため、現在SkypeとLinkedInの両方を所有しています。おそらくMicrosoftは、両方のサービスで同じパスワードを使用しているユーザーに、パスワードを少し変更するよう求めることで、Skypeアカウントのさらなる漏洩を防ぐのに役立つはずです。
他のデータ侵害で他のパスワードが漏洩した可能性があるかどうかを確認するには、Microsoft 地域ディレクターでありセキュリティ専門家でもある Troy Hunt が HaveIBeenPwned で提供している独立したツールを使用できます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
