KDDIに対するサイバー攻撃により、約761万件のパスワードを含む認証情報が漏洩した事件で、パスワードの使い回しによる二次被害のリスクが浮き彫りになっている。神戸大学名誉教授の森井昌克氏は、仮に漏洩したパスワードのうち同程度の割合で使い回しがあった場合、約15万件もの認証情報が他サービスへのリスト型攻撃に悪用される可能性があると試算する。
漏洩情報の悪用リスクと具体的な試算
今回の攻撃はゼロデイ攻撃であったことが第二報で明らかになっており、KDDIのシステムの脆弱性を突かれた形だ。漏洩した約761万件のパスワードのうち、利用者が他のサービスでも同じパスワードを使い回している割合を考慮すると、約15万件が他サービスへの不正ログインに悪用される可能性がある。これは理論上の試算ではあるが、各サービスの多要素認証や不正ログイン対策によって実際の成功率は変動するものの、使い回しが被害を連鎖させる本質は変わらない。
利用者が取るべき具体的な対策
森井氏は、今回の事件の対象となった利用者に対し、まずメールパスワードを変更する必要があると指摘する。さらに重要なのは、そのパスワードを他のサービスでも利用していた場合、それらすべてのパスワードも変更することだ。サービスごとに異なるパスワードを設定し、パスワード管理ソフトを活用することが望ましいとしている。また、多要素認証が利用できるサービスでは必ず有効にすることで、パスワードが漏洩しても追加認証により不正ログインの多くを防げる。加えて、身に覚えのないログイン通知やクレジットカード利用通知に注意し、不審なメールやSMSのリンクを開かないことが重要だ。
情報漏洩は終わりではなく始まり
情報漏洩事件は情報が漏れて終わりではなく、その後に始まる二次被害が本当に恐ろしいと森井氏は警鐘を鳴らす。漏洩した認証情報は、詐欺、不正ログイン、不正送金、クレジットカードの不正利用など、さまざまな犯罪の出発点となる。今回のKDDI事件は一企業の問題にとどまらず、メールという社会基盤が狙われ、数百万人規模の利用者へ影響が及ぶ時代になったことを示す象徴的な事件である。
今後のサイバーセキュリティの課題
利用者一人ひとりがパスワードを使い回さない、多要素認証を利用するといった基本的な対策を徹底することはもちろん重要だが、サービス提供者には認証情報の安全な保管、SBOM(ソフトウェア部品表)を活用したソフトウェア管理、ゼロデイ攻撃を前提とした監視体制の強化など、より高度な対策が求められる。サイバー攻撃はもはや誰かが狙われる時代ではなく、私たちの暮らしを支える共通基盤そのものが狙われ、その影響が利用者一人ひとりへ直接及ぶ時代に入った。この事件を他人事ではなく自分自身の問題として受け止めることが、今後のサイバーセキュリティにおいて最も重要な第一歩であると森井氏は強調している。



