NordVPNユーザーのパスワードが侵害され、オンラインフォーラムで公開される
10月21日、NordVPNは、ハッカーがVPNプロバイダーが使用するサーバーにアクセスしたことを認めました。 2週間もたたない金曜日に、NordVPNユーザーのユーザー名とパスワードが公開オンラインフォーラムとPastebinのような共有プラットフォームで漏洩したことが明らかになりました。驚くことではないが、人々は2つの事件の間に関係があるかどうかを知りたい。
10月に報告された侵害は、実際には2018年3月に発生しました。NordVPNは、侵害されたサーバーを運用しているフィンランドのデータセンターがミスを犯したために起こったことをすぐに指摘しました。 また、このブログ投稿では、ハッカーが個人データにアクセスできず、トラフィックが監視されたことを示唆する証拠がないことも指摘されています。言い換えれば、Ars TechnicaのDan Goodinが11月1日に最初に話したログイン資格情報は、2018年3月のNordVPNへの攻撃中に漏洩しませんでした。彼らはどこから来たのですか?
ハッカーがNordVPNユーザーにクレデンシャルスタッフィング攻撃を開始
ユーザー名とパスワードは、クレデンシャルスタッフィング攻撃の後に公開されました 。つまり、NordVPNとは関係のない別のオンラインサービスから盗まれたということです。ログインデータを盗んだハッカーは、NordVPNでユーザー名とパスワードの組み合わせを試しました。複数のWebサイトで同じ資格情報を再利用したため、パスワードの一部がユーザーの仮想プライベートネットワークアカウントを正常にロック解除しました。さらに心配なのは、人々のVPNへのアクセスを許可するパスワードのほとんどがまだアクティブになっているように見えることです。
Dan Goodinは753の電子メールアドレスとプレーンテキストのパスワードのペアのリストを受け取り、影響を受けたユーザーのサンプルに連絡した後、1つを除くすべての組み合わせが有効であると結論付けました。パスワードを更新した唯一の人は、誰かが自分のアカウントにアクセスしたという通知を受け取った後にそうしました。
悲しいことに、グッディンが受け取って分析したバッチは、唯一のものではありません。彼は、トロイハントが1週間以内にHave I Been Pwned侵害通知サービスに10個以上の類似リストを追加したと述べました。一部のアカウントは複数回表示されますが、Dan Goodinは、少なくとも2,000のNordVPNユーザーが資格情報の詰め込み事件の影響を受ける可能性があると推定しました。他の侵害と比較して、この数は特に大きいようには見えませんが、仮想プライベートネットワークアカウントの性質は、侵害の結果がかなり壊滅的なものになる可能性があることを意味します。だから、誰が非難するのですか?
誰もがクレデンシャルスタッフィングの危険性を認識する必要があります
いつものように、サイバーセキュリティ事件の責任者を言うことは、最初に現れるよりも複雑です。
そもそも、資格情報を失ったオンラインサービスがあります。人々のログインデータを保護できなかっただけでなく、パスワードを正しく保存しなかったという理由でも批判に値します。これは、クレデンシャルがプレーンテキストで流通しているという事実から明らかです。
NordVPNも単なる被害者ではありません. Dan Goodinが指摘したように、これは人々に追加のセキュリティを提供するオンラインサービスであると想定されていますが、料金を請求する会社は、サイバー犯罪者を阻止する十分なレート制限メカニズムを導入していません。 NordVPNは、これまでにない動きでArs Technicaに、この問題に取り組むとともに、ハッカーの生活をより困難にする2要素認証システムを開発することを伝えました。
ただし、少なくとも一部の責任はユーザーにも及ぶはずです。長年にわたって、サイバーセキュリティの専門家は実世界の例を使用して、パスワードの複雑さの重要性を人々に教えてきましたが、ダン・グディンが見た資格情報は、メッセージが伝わっていないことをかなり明確に示しました。 Ars Technicaの記者は、彼が見たパスワードはすべて弱いと言った。それらの一部は、ペアリングされた電子メールアドレスの最初の部分と同一であり、その他は数桁の数字が付加されたユーザーの姓であり、その他はかなり簡単に推測できる辞書の単語でした。
パスワードの強度(またはその不足)は最大の問題ではありません。クレデンシャルスタッフィングの概念は、複数のWebサイトで同一のユーザー名とパスワードの組み合わせを使用する人々に依存しています。過去数年間に見られた同様の事件が多数発生しているにもかかわらず、ユーザーは多くの異なるオンラインサービスで同じパスワードを使用し続け、ログインデータを適切に保護するためにこれらのサービスに依存しています。これは明らかに、この日と時代の最良の戦略ではありません。
しばらくの間、 Cyclonis Password Managerのようなパスワード管理ソリューションがありました。これは、人々が何度も同じ間違いをすることを避けるのに役立ちますが、さまざまな理由から、採用率は本来の高さにはほど遠いです。
真実は、パスワードマネージャーを使用しないことを選択した場合でも、クレデンシャルスタッフィング攻撃がもたらす危険に注意する必要があり、防御が十分であることを確認する必要があります。