脅威インテリジェンス企業のDarkTracerが、DarkWeb上にリークされた395億件の認証情報の内、16百万が政府系認証情報であったと分析されていました。米国が圧倒的（7.4百万件）ですが、日本も約13.5万件の情報が漏えいしている様です。

Number of government credentials leaked to the DarkWeb (TOP 20)

Of the 39.5 billion credentials leaked to the DarkWeb, 16 million are government credentials.

1. USA
2. UK
3. Australia
4. South Africa
5. Brazil
6. South Korea
7. France
8. Mexico
9. Taiwan
10. China pic.twitter.com/dbp9IgkbWn

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) 2021年8月1日

 

キタきつねの所感

DarkWeb上の調査範囲がどの程度なのか分かりませんが、ランサム情報を含めDarkWebの脅威分析で実績があるDarkTracerの発表なので、精度はそこそこあるのではないかと思います。

※上位にインドが入ってない点や、これは攻撃側だからなのかも知れませんが、ロシアが入ってないといった点は気になりますが

 

日本は15位（約13.5万件の「go.jp」アカウント）となっており、”悪くは無い”結果なのかとは思います。

Number of government credentials leaked to the DarkWeb (TOP 20)

11. Malaysia
12. Argentina
13. Turkey
14. New Zealand
15. Japan
16. Thailand
17. Colombia
18. Ukraine
19. Peru
20. Singapore

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) 2021年8月2日

 

しかしこれらの情報は、既に不正施行されている（される）可能性があると考えると、必ずしも安心できる結果ではありません。

 

例えばランサムオペレータは分業制を戦略の柱としている事が多く、攻撃に使う認証情報を別な脅威アクターから”買う”という選択をする事もあるので、窃取情報がランサム攻撃に悪用される事もあるでしょうし、フィッシングメール、クラウドストレージや、ファイル共有サービス等を狙った不正アクセスに直接的に悪用される様な事も考えられます。

 

政府系のIDと一部パスワード情報が漏えいした場合、パスワードの使い回しはされていない・・・と信じたい所ですが、やはり色々と「穴」はありそうな気がします。

 

ZDnetの記事にも漏えいした認証情報起因で、更なる攻撃に繋がる点について書かれていました。

japan.zdnet.com

データ漏えいを経験した企業にとって、最も一般的な最初の攻撃ベクターは、流出した認証情報だ。これらの情報は、オンラインに投稿されたデータダンプ、販売されているデータ、あるいはブルートフォース攻撃などから取得される恐れがある。また、インシデントの半数近くで、名前や電子メールアドレスを含む、顧客のPII（個人を特定できる情報）が窃取されていた。

 

こうした（不正アクセス）攻撃に対して、多要素認証、あるいは他のセキュリティ対策が取られていれば良いのですが、もしまだ手が回ってないのであれば、一般企業と同じ様に政府系機関（地方自治体）も、侵入を前提とした対策の強化を進めると共に、地道に従業員啓蒙を進めていくしかないのかも知れません。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 

更新履歴

• 2021年8月3日 PM