·
不幸なCookie?
盗まれたCookieがデータを暴露
「当社は、お客様に最高のオンライン体験を提供するためにCookieを使用しています。これらは盗まれ、サイバー攻撃に使用される可能性があります。これに同意しますか?」
研究者たちは、どのようにしてクッキーが盗まれたのか、どのようなセキュリティおよびプライバシーリスクをもたらすのか、そしてどのような種類の情報が含まれているのかを調べるため、ダークウェブで販売されていた540億個のクッキーとそのリスティングのデータセットを分析しました。 この調査は、インターネットユーザーが軽はずみにCookieを受け入れることで、いかに自分のアカウント、金銭、個人情報を危険にさらしているかを明らかにすることを意図しています。
良いこと、悪いこと、必要なこと:
インターネットCookie
の様々なタイプを探る
Cookieは、今日のインターネットの仕組みに欠かせない要素です。Cookieとは、ウェブサイトがデバイスに保存する小さなテキストファイルです。しかし詳細に調べると、さらに多くのことが見えてきます。最も一般的な種類のCookieとそのリスクについて見ていきましょう。
ファーストパーティCookieは、訪問しているウェブサイトによって作成され、保存されます。これらのCookieは、ログイン情報を記憶し、ウェブサイトのコンテンツをパーソナライズし、設定を保存するため、基本的なウェブサイト機能とユーザーの利便性に不可欠と見なされています。
一般的にサードパーティCookieよりも侵入的ではないものの、ファーストパーティCookieは深刻なセキュリティリスクをもたらす可能性があります。危険にさらされるのは、ファーストパーティCookieに保存されている個人データだけではありません。Cookieは、サイト、アカウント、サービスへのログインを維持するため、重要な認証データも危険にさらされます。セッションIDからユーザー識別子まで、Cookieにはすべてを含むことができます。誰かがこれらのCookieを入手すると、そのCookieを使ってセッションを再開し、他のアカウントから企業システムのより機密性の高い情報にアクセスできます。
クリックは慎重に:
Cookieはどうやって
盗まれるのか?
多くのサイバー犯罪者は、Cookieや他の攻撃に含まれる情報を盗んだり、販売したり、使用したいと考えています。どのようにして数百万ものインターネットユーザーのCookieを手に入れることができるのでしょうか?主にマルウェア、つまり情報窃取ソフト、トロイの木馬、キーロガーを通じてです。調査中に見られた最も一般的なマルウェアの種類は次のとおりです。
Aurora
ウイルス対策の検出を避けるため、ゼロで水増しされた正規のアプリケーションのふりをして変身するインフォスティーラーです。
Azorult
ユーザー名やパスワード、クレジットカード情報、暗号ウォレットを盗んだり、他のマルウェアをダウンロードしたりするインフォスティーラーです。
CryptBot
ブラウザ、Cookie、支払い情報、暗号通貨ウォレットに保存されているアカウントパスワードを盗むように設計された、Windowsオペレーティングシステムをターゲットとしたインフォスティーラーです。
Dark-crystal-rat
サイバー犯罪者が感染したデバイスをリモートから制御できる、リモートアクセス型トロイの木馬。さまざまな目的に適合させることができます。
MetaStealer
このサービスとしてのマルウェアは、月額125ドルのサブスクリプションまたは生涯アクセスの場合は1,000ドルで提供され、暗号ウォレットやパスワードをターゲットにしています。
Mystic
検出を避けるためにシステムコールやその他の技術を使用して、情報を盗むための幅広いブラウザや拡張機能をターゲットとするマルウェアです。
Pennywise
YouTubeを利用して自らを拡散するインフォスティーラー。効率的なマルチスレッド機能により、さまざまな種類のデータを盗むことができます。
Predator-the-thief
このマルウェアは、検出を回避するために追加のアンチ解析機能を追加して更新されましたが、わずか150ドルで利用できます。暗号ウォレットモジュールをさらに100ドルで利用できます。
Raccoon
テクニカルサポート付きのサービスとしてのマルウェア。収集されたデータを送信し、難読化技術を持たないため、ステルス性は低くなりますが、人気があり、非常に効果的です。
RedLine
月額100ドルのサービスとして宣伝されているマルウェアのキーロガーとインフォスティーラー。カスタマイズ用のモジュールや、他のマルウェアのダウンロードなどの追加機能が含まれています。
Taurus
不正広告やスパムを介して拡散し、ユーザーを騙して自らダウンロードさせるマルウェア。検出を避けるために難読化を使用します。
Vidar
特定の種類のデータをターゲットにするよう設計された特定の構成を使用して、オペレーティングシステムおよびユーザーデータを収集するサービスとしてのマルウェアです。
調査結果:食欲をそそらない真実
研究者は、ダークウェブ市場で利用可能な540億(54,008,833,188)のCookieのコレクションを分析しました。17%がアクティブで、90億以上のCookieがあります。アクティブなCookieは、ユーザーがインターネットを閲覧するとリアルタイムでアクティブに更新されるため、リスクが高くなります。ただし、非アクティブなCookieは、かなり前に更新された場合でも、ユーザー関連の情報を含む可能性があり、さらなる攻撃や操作に使用されることがあります。
アクティブと非アクティブの両方のCookieの半分以上がRedLineを使用して盗まれています。しかし、Predator-the-thief、Cryptbot、MetaStealer、Taurusを通じて、より高い割合でアクティブなCookieが盗まれました(それぞれ57%、51%、48%、44%)。使用されたマルウェアの性質から、経験豊富なサイバー犯罪者とサービスとしてマルウェアを使用する初心者の両方が、オンラインで販売するためにデータを盗んでいるという事実を確認できます。
これらのCookieは誰のものですか?
プラットフォーム
データセットのすべてのCookieの5%以上がGoogleからのものであり、1.3%がYouTubeから、1%以上がMicrosoftから、さらに1%がBingからのものでした。
販売されているこれらのCookieは、所有者にとって大きなリスクです。Cookieは、他のログイン情報にアクセスするために使用できる重要なメールアカウント用です。これらのパーセンテージはわずかに見えるかもしれませんが、全データセットの1%でも依然として5億を超えるCookieとなり、膨大な量のユーザーデータであることは注目に値します。
*NordVPNは、言及されたプラットフォームの所有者によって承認、維持、スポンサー提供、提携されておらず、いかなる形でも関連付けられていません。プラットフォームは、ダークウェブ市場で利用可能なCookieに関連する情報を正確に報告する目的でのみ示されています。
デバイス
540億のCookieのほぼすべてが、Windowsデバイスからスクレイピングされました(マルウェアの性質上)。しかし、そのデータセットには3,150万以上のAppleのCookieが含まれていました。これは、ユーザーが異なるデバイスやプラットフォームでアカウントにログインするため、システムに亀裂が生じていることを示しています。
データセットのCookieには、4,500以上の異なるオペレーティングシステムのラベルが見られました。これは、異なるデバイスで実行されているOSの特定の性質によるものです。多くのラベルは、別のOSではなく、デバイスとモデル固有の名前を持っているようでした。このことは、Cookieに保存された詳細な情報が、個人を再特定するために使用される可能性があることを示しています。
最も一般的なOSはWindows 10 Enterprise(160億以上、全体の30%)であり、企業がハッキングされるリスクの増加を示しています。
*NordVPNは、言及された商標の所有者によって支持、維持、後援、提携されておらず、またはいかなる形でもこれらのプラットフォームとの関連を持ちません。商標は、ダークウェブ市場で利用可能なCookieに関連する情報を正確に報告する目的でのみ表示されます。
国
Cookieの半数は国データを保持していませんが、その95%は非アクティブでした。データにユーザーの国に関する情報があったものの中で、最も一般的なのはブラジル、インド、インドネシア、アメリカ、およびベトナムでした。ヨーロッパを具体的に見ると、最も多くのCookieはスペインから来ており、5億5400万です。イギリスはCookieの数で120位でしたが、そのうち半数以上がアクティブでした。全体的に、データセットには244の国と地域のユーザーが含まれており、ハッカーと高度なマルウェアの能力が広範囲であることを確認できます。
Cookieの容器の中身は?
売り手は、潜在的な買い手がCookieでどのようなデータを見つけることができるかを見ることができるように、リスティングに特定のキーワードをCookieに割り当てていました。Cookieに添付された最も一般的なキーワードは、「割り当てられたID」(105億)、続いて「セッションID」(7億3900万)でした。どちらも特定のユーザーにつながるものです。その後には、キーワード「認証」が1億5,400万回(15%がアクティブ)、そして「ログイン」が3,700万回(18%がアクティブ)が続きました。後者の2つは特に危険です。多くがまだアクティブです。つまり、誰かがこれらのCookieを使用して、人々のアカウントにログインする可能性があります。
個人情報に関しては、Cookieは主にユーザーの名前、メールアドレス、都市名、パスワード、住所を保存します。900万個のCookieに特定の都市が含まれ、200万個以上のCookieにユーザーの特定の住所まで含まれていました。性的指向は、頻度こそ低いものの、データセットに50万回登場し、アクティブなCookieの割合も高くなっています(26%)。このことは、LGBTQ+コミュニティのメンバーにとって、さらなるリスクを生み出します。国によっては、従来とは異なる性的指向が露呈することで、深刻な結果を招く可能性があります。
サイバー犯罪者は、アクティブなCookieを使って誰かの個人アカウントにログイン可能です。そこで発見された情報は、Cookieファイル自体のデータとともに、詳細なユーザーポートフォリオを作成し、人々やその職場に対するサイバー攻撃を実行することを可能にします。
隠されたリスク:
Cookieモンスターにご注意
インターネットCookieは無害な技術に思える人もいるかもしれませんが、ダークウェブで540億個も販売されていることは、個人と企業の両方にとって大きなリスクです。その保存している情報は、オンラインでも現実でも大規模な攻撃を引き起こす可能性があります。
デバイスからCookieが盗まれたらどうなるか?
ハッカーがさまざまなプラットフォームやサービスからのCookieのコレクションを手に入れた場合、次のような多くの悪意のある活動に使用されることが考えられます。
誰かがあなたのセッションの識別子を含むCookieを持っていると、オンラインであなたになりすまし、パスワードを推測したり盗んだりすることなく、アカウントに不正にアクセスできます。SNS、メール、オンラインショッピングのアカウントすべてが危険にさらされる可能性があります。
Cookieの中には、攻撃者が個人情報にアクセスできるものもあり、個人情報の窃盗に利用される可能性があります。名前、住所、電話番号、支払詳細が記載されたアカウントにログインされると、すべてあなたの名前で詐欺やその他の犯罪に利用される可能性があります。
Cookieは、あなたの閲覧習慣や嗜好を追跡するために使用されます。この情報にアクセスした何者かが、あなたに関する他の情報と一緒に、標的型フィッシング攻撃に使用する可能性があります。データセットが十分に大きければ、ターゲット広告に関心のある第三者に販売されることもあります。
いくつかのウェブサイトでは、デバイスやIPアドレスが二要素認証やその他のセキュリティチェックを通過したことを記憶するためにCookieを使用しています。あなたのデータを含むセッションCookieを使用すると、誰かがこれらのセキュリティ対策を回避し、保護されたアカウントへのアクセスが容易になります。
Cookieがデバイスから盗まれた場合、
ビジネスに起こること
従業員のインターネット使用によって生成された盗まれたCookieは、業務、セキュリティ、評判、および法令遵守のさまざまな側面に影響を与え、大規模な違反につながる可能性があります。
攻撃者はCookieを使って、企業アカウント、内部システム、データベースにアクセスできます。このアクセスにより、企業の機密情報、知的財産、財務データ、従業員記録、顧客情報を盗むことが可能になります。会社のシステムを乗っ取った場合、ハッカーは身代金の支払いまで会社のアカウントをロックできます。攻撃者はまた、取引を開始したり、ビジネスの背景を利用してベンダーやクライアントにフィッシング攻撃を行うこともあります。
風評被害や法的損害も懸念事項のひとつです。機密データや規制対象データ(医療記録など)が漏えいした場合、盗難による金銭的損失、修復費用、データ保護法(GDPRやCCPAなど)違反による罰金、影響を受ける当事者への通知費用など、ビジネスに深刻な影響を及ぼす可能性があります。さらに、企業は風評被害、顧客、パートナー、ステークホルダーとの信頼関係の悪化、新規顧客やパートナーの獲得難に対処しなければなりません。
守りを固めましょう:
デバイスのCookieを
ハッカーから守る方法
いくつかの新しい習慣と一般的なサイバーセキュリティ意識は、個人または企業のインターネット設定に関連するCookieを保護するのに大いに役立ちます。
1. 安全な接続を使用する。
プレミアムVPNを利用して、インターネット接続を常に暗号化しましょう。そうすることで、Cookieが送信中に傍受されるのを防ぐだけでなく、IPアドレスのような特定の情報を隠すのにも役立ち、データをあなたに結び付けることが難しくなります。
2. セキュリティソフトを追加する。
NordVPNのような一部のVPNプロバイダーは、Cookieを盗むマルウェアを回避するための追加セキュリティ機能を提供しています。NordVPNの脅威対策Pro™は、危険なサイトやフィッシングサイトへのアクセスをブロックし、マルウェアのダウンロードファイルをスキャンします。
3. Cookieを拒否する。
盗難を避ける最善の方法は、盗まれるものを何も残さないことです。ほとんどのウェブサイトは、セッション中に特定のCookieを使用する許可を求めます。追跡Cookieの多くは拒否できます。NordVPNの脅威対策Pro™は、サードパーティのトラッカーがインターネット上であなたを追跡し、あなたに関するデータを収集するのをすべてブロックして、さらにサポートします。最後に、定期的にCookieをクリアして、古いデータや潜在的に危険なデータを削除します。この手順は、公共のコンピュータや共有のコンピュータを使用した際に特に重要です。
自分のCookie は自分だけのもの
ビジネスユーザーのセキュリティに関しても、多かれ少なかれ同じことが言えます。NordLayerのビジネスVPNを使用して接続を保護し、従業員に定期的に最良のサイバーセキュリティ対策についてトレーニングを行い、内部セキュリティ機能を実装してサイバー攻撃の可能性を最小限に抑えましょう。
方法
NordVPNは、独立した研究者と提携し、ハッカーが盗んだ情報を販売するTelegramのチャンネルからデータセットを収集しました。研究者たちは、Cookieがアクティブか非アクティブか、Cookieを盗むためにどのマルウェアが使用されたか、Cookieの出所はどの国か、さらにCookieが含むデータ(Cookieを生成した会社、ユーザーのOS、ユーザーに割り当てられたキーワードカテゴリ)を分析しました。
注:NordVPNも研究パートナーも、盗まれたCookieを購入したり、Cookieの内容にアクセスしたりはしていません。当社のパートナーは、Cookie販売リストで入手可能なデータのみを分析しました。この調査報告書を作成する際には、インターネットユーザーのプライバシーやセキュリティーを侵害しないように細心の注意を払っています。
デジタルライフについて詳しく知りたい方は、 ほかの研究もご確認ください!
モバイルプライバシー:
アプリは何を
知りたいのか?
AndroidおよびiOSアプリが機能するには、携帯電話へのアクセス許可が必要ですが、実際にはどれだけのデータ量が必要なのでしょうか?世界中で人気の100件以上のアプリを確認し、アプリがあなたのことをどれだけ知りたがっているか(知る必要があるのか)を調べました。
ヒーリングもしくは
ハッキング?ヘルスケアアプリの
隠れたコストを検証
ヘルスケアアプリは、心の平穏を達成し、身体の健康を回復するのに役立ちます。しかし、デジタルウェルビーイングにおいて、ヘルステクノロジーはどのような役割を果たすのでしょうか?世界中の12,726人のユーザーを対象に、健康管理アプリの使用状況と、バックグラウンドで知らずに起こっているトレードオフについて調査しました。
氷山の一角:600万枚の盗難カードを分析
毎日何千枚もの盗まれたクレジットカードが売買されています。クレジットカードの盗難がもたらすリスクを理解するために、研究者たちは、世界中のクレジットカード盗難の氷山の一角である、主要なダークウェブマーケットプレイスで入手可能な600万枚のクレジットカードのデータセットを分析しました。