Cookieの流出は540億件：ハッカーがCookieを狙う理由

NordVPNが発表した独立系研究者による最新調査[https://nordvpn.com/ja/research-lab/stolen-cookies-study/]によると、ダークウェブ上には540億件以上のCookieが流出しています。Cookieはブラウジングに必要不可欠なツールとして知られていますが、多くの人は、Cookieがハッカーにとって、データを盗み、機密システムへのアクセスを可能にする重要なツールとなったことに気づいていません。

「Cookie使用の同意を求めるポップアップのおかげで、私たちはCookieを、オンライン活動をする上でわずらわしいが必要なものであると認識しています。しかし、ハッカーがユーザーのアクティブなCookieを入手すれば、ログイン情報やパスワード、さらには多要素認証なしでもアカウントを乗っ取る可能性があることを、多くの人は理解していません」と、NordVPN[https://nordvpn.com/ja/]サイバーセキュリティアドバイザーのアドリアヌス・ワーメンホーフェン氏は言います。

Cookieの仕組みと盗まれたCookieがもたらすリスク

根本的な脅威について説明するために、NordVPNの専門家がCookieの仕組みを説明します。

「まず、Cookieの設定が必要であると理解することが重要です。デバイスがどのユーザーによって操作されているかを知る方法は、実際には存在しません。Cookieがなければ、サーバーはユーザーを確認できません。簡単に言うと、ユーザーがパスワードと多要素認証でログインすれば、サーバーはユーザーにCookieを渡します。そして、次の機会に同じユーザーがこのCookieを持って戻ると、サーバーはCookieを認識して、すでにログイン実績があるユーザーであると理解します。つまり、同じ情報を求める必要が全くないのです」と、アドリアヌス・ワーメンホーフェン氏は言います。

しかし、このCookieが盗まれ、それがまだ有効な状態であれば、攻撃者はパスワードや多要素認証なしでも、ユーザーのアカウントにログインできる可能性があります。

すでに述べたセッションデータに加え、Cookieは個人名、場所、嗜好、体格などといった機密情報も保持することができます。

見つかったCookieの種類

分析された540億件のCookieのうち、17％が有効な状態でした。

「17％と聞くと大した数でないように思われるかもしれませんが、90億件以上のCookieという膨大な個人データに相当します。また、有効なCookieはより大きなリスクをもたらしますが、無効のCookieもユーザーのプライバシーにとって脅威であるだけでなく、ハッカーが保存された情報をさらに悪用あるいは操作する可能性もあります」と、NordVPNサイバーセキュリティアドバイザーのアドリアヌス・ワーメンホーフェン氏は言います。

データセットの全Cookieのうち、25億件以上がGoogleから、6億9,200件はYouTubeからのものでした。5億件以上がMicrosoftとBingからのものでした。（※）

「このような主要なアカウントからのCookieは、特に危険です。なぜなら、パスワードのリカバリー、企業システム、またはSSOを通じてさらなるログイン詳細にアクセスされる可能性があるからです」と、アドリアヌス・ワーメンホーフェン氏は述べます。

東アジア諸国のデータでは、約8,100万件のCookieを持つ日本が3位で、うち28％が有効な状態です。約1億8,600万件のCookieを持つ韓国が1位で、2位の台湾は9,300万件です。

北朝鮮は、Cookieの数では235位だった一方、有効なCookieの割合は88％と、全244か国で最大でした。全体として、Cookieのデータセットは、これらの巨大なマルウェアシステムのカバー範囲を示しています。

最大のキーワードカテゴリー（105億）は「割り当てられたID」、次いで「セッションID」（7億3,900万）で、これらのCookieは、セッションを有効な状態で保つため、またはウェブサイト上でユーザーを判別してサービスを提供するために、特定のユーザーに割り当てられたり紐付けられたりします。1億5,400万の認証Cookieと、3,700万のログインCookieがこれに続きました。

氏名、メールアドレス、都市名、パスワード、住所が、個人情報カテゴリーの中ではもっとも多かったものでした。

「これらすべての詳細と、年齢、体格、性別、嗜好などを組み合わせると、非常に精密なユーザー像が得られ、ターゲットを絞った詐欺や攻撃が可能になります」と、アドリアヌス・ワーメンホーフェン氏は警鐘を鳴らします。

これらのCookieを盗むために、最大12種類のマルウェアが使用されていました。57％近くが、人気の情報窃盗/キーロガーマルウェアであるRedLineにより収集されていました。

自分の身を守る方法

Cookieをしっかり保管するための魔法の容器はありませんが、アドリアヌス氏によるアドバイスを紹介します。

まず彼は、オンラインで意識して行動することの重要性を強調しています。

「盗まれる可能性のある入手可能なデータを最小限にするために、定期的にCookieを削除するのは賢明な選択です。また、ダウンロードするファイルや訪問するウェブサイトにも注意しましょう。警戒を怠らないことでリスクを最小化することができます」と専門家であるアドリアヌス氏は話します。

NordVPNの「脅威対策」のようなツールを利用するのも役に立つでしょう。この機能は、悪意あるサイトを遮断し、マルウェアのダウンロードをチェックし、トラッカーのブロックを行って、ユーザーをデータ収集・盗難からさらに保護します。「ダークウェブモニタリング」機能も、データが盗まれた場合にユーザーに警告を発するので、被害が拡大する前に対策を講じることができます。

調査方法

今回のデータは、サイバーセキュリティのインシデント調査を専門とする独立系研究者との提携によりまとめられたものです。研究者たちはハッカーが盗難情報の販売を宣伝するTelegramのチャンネルから集めたデータを利用しました。この結果、540億以上のCookieに関するデータセットが作成されました。研究者たちはCookieがアクティブな状態か否かを分析し、Cookieを盗むのにどのマルウェアが使用されたか、どの国が出所のCookieか、さらには、Cookieを作成した会社、ユーザーのOS、そしてユーザーに割り当てられたキーワードカテゴリーに関するどのようなデータが含まれているかを分析しました。NordVPNは盗まれたCookieを購入しておらず、Cookieの内容にはアクセスせず、Cookieに含まれるデータの種類のみを調査しました。

NORDVPNについて

NordVPNは、世界中の何百万人ものインターネットユーザーに利用されている、世界で最も先進的なVPNサービスプロバイダーです。二重のVPN暗号化およびOnion Over VPNを提供し、トラッキングゼロでプライバシーを保証します。当製品の主要な機能のひとつは、悪質なウェブサイト、ダウンロード中のマルウェア、トラッカー、および広告をブロックする『脅威対策』です。NordVPNは非常に使いやすく、市場のベストプライスを提供しています。世界111カ国をカバーする6,200台以上のサーバーを所有しています。詳しくはこちらをご覧ください: https://nordvpn.com

（※） NordVPNは、言及された商標の所有者によって承認、維持、後援、提携、あるいは何らかの形で関連しているものではありません。商標は、ダークウェブ市場で入手可能なCookieに関連する情報を正確に報告する目的でのみ表示されています。