誤報の発生とGoogleの反論
Googleは、再び大規模なデータ侵害の誤報を否定せざるを得ない状況に追い込まれました。複数のニュースメディアが、1億8300万件ものGmailアカウントが侵害されたというセンセーショナルな記事を報じたためです。しかし、Googleは月曜日に一連の投稿で、Gmailが侵害された事実はなく、報告された認証情報は情報窃取型マルウェアやその他の攻撃によって長年にわたり盗まれた資格情報のコンパイルに過ぎないと説明しました。
GoogleはX(旧Twitter)で、「『数百万人のユーザーに影響を与えるGmailセキュリティ侵害』という報道は誤りです。Gmailの防御は強力であり、ユーザーは保護されたままです」と述べました。また、「不正確な報道は、ウェブ上で発生している様々な認証情報窃取活動を日常的にコンパイルするインフォスティーラーデータベースの誤解に起因しています。これは、特定の個人、ツール、プラットフォームを狙った新しい攻撃を反映するものではありません」と付け加えています。
さらにGoogleは、「最近、GoogleがすべてのGmailユーザーに対し、Gmailの主要なセキュリティ問題について広範な警告を発したという不正確な主張がいくつか浮上しましたが、これは全くの誤りです」と強調しました。
誤解の原因:HIBPへの大規模データ追加
この特定の誤報は、Have I Been Pwned (HIBP) の作成者であるTroy Hunt氏が、脅威インテリジェンスプラットフォームSynthientと共有された1億8300万件もの大規模な侵害された認証情報のコレクションをHIBPに追加したと発表したことに端を発しています。これらの認証情報は、単一のデータ侵害によって盗まれたものではなく、情報窃取型マルウェア、データ侵害、クレデンシャルスタッフィング、フィッシングなど、様々な経路で収集されたものです。さらに、これらのアカウントは単一のプラットフォームのものではなく、数千、あるいは数百万のサイトにわたるものです。
脅威アクターは、流出した認証情報を収集し、大規模なコレクションにまとめ、Telegramチャンネル、Discordサーバー、ハッキングフォーラムなどのサイバー犯罪コミュニティで共有するのが一般的です。Hunt氏がこのデータをHIBPにロードした後、1億8300万件の認証情報のうち91%が以前にも確認されていたと述べており、その多くが長年にわたって流通していたことを示しています。
漏洩した認証情報の危険性
Gmailのデータ侵害という主張は誤りであるものの、流出した認証情報が無害である、あるいは無視すべきであるという意味ではありません。脅威アクターは、これらの認証情報を利用して企業ネットワークに侵入し、壊滅的な攻撃を実行することがよくあります。例えば、UnitedHealth Change Healthcareのランサムウェア攻撃は、流出したCitrixの認証情報が原因で、脅威アクターが初期ネットワークアクセスを獲得しました。
しかし、根拠のないデータ侵害の報道は誰の役にも立たず、プラットフォームのユーザーやビジネス顧客に不必要なストレスと余分な作業を引き起こすだけです。
過去の類似事例とユーザーへの注意喚起
Googleは先月も、同じニュースサイトが25億件のGmailアカウントが侵害されたと主張した後、データ侵害はなかったと発表せざるを得ませんでした。この主張は、Salesloftの侵害が少数のGoogle Workspaceアカウントに影響を与えたことに端を発していましたが、すぐに大規模な侵害として誇張されました。
もしご自身の認証情報がSynthientコレクションの一部であったかどうか懸念される場合は、Have I Been Pwnedでアカウントを登録し、ダッシュボードを開いて「Stealer Logs」をクリックすることで、過去に情報窃取型マルウェアによってアカウントが侵害されたかどうかを確認できます。もしアカウントがリストに表示された場合は、コンピューターでアンチウイルススキャンを実行し、すべてのアカウントのパスワードを直ちに変更してください。