24億件の漏洩認証情報が攻撃者の手に。あなたのコントロールプレーンは備えていますか?

2026年6月15日、Cybernewsのリサーチャーが、8.3テラバイト・240億件のユーザー名とパスワードの記録を含む非セキュアなElasticsearchクラスターの責任ある削除を公表しました。これらのデータは、主に盗まれた認証情報が犯罪コミュニティ間で流通するTelegramチャンネルなど36の異なるソースから集約されたものです。そのうち約226億件は「コレクション」―過去の侵害イベントから収集された認証情報セットであり、多くの組織のセキュリティチームがすでにパスワードの変更やシステム廃止によって対処済みです。しかし、残りの記録はまったく異なるソース、つまりインフォスティーラー型マルウェアのログから取得されたもので、現役のエンタープライズ環境からリアルタイムで収集された認証情報です。

この違い―過去のコレクションと現役のインフォスティーラー出力―こそが、バックグラウンドの脅威と実際の運用リスクの分かれ目です。RedLine、Lumma、Vidarなどのインフォスティーラーは、従業員が日々認証するマシン(ブラウザ、デスクトップアプリ、パスワードマネージャー、エンタープライズSaaSポータル)から直接認証情報を収集します。これらのログに含まれる認証情報は5年前の侵害によるものではありません。現在本番稼働中のエンドポイントから取得されたものであり、パスワードが変更されるまで有効な認証データです。

HIPAAコンプライアンス要件、CMMC 2.0コンプライアンス、FedRAMP認証、または同等の規制フレームワーク下で運用する組織にとって、この現実は極めて明確かつ厳しいものです。数千人規模の従業員を抱える組織であれば、統計的に見て、その一部の認証情報が240億件のデータセットに含まれている可能性が非常に高いのです。コンプライアンス担当者やセキュリティチームが問うべきは、認証情報が存在するかどうかではなく、「攻撃者がそれを使って何を達成できるのか、そして現在のアーキテクチャはその結果をどこまで制限できるのか」です。

本記事では、この問いに直接答えます。インフォスティーラーによる認証情報漏洩の仕組み、規制業界が直面する非対称的なリスク、そしてKiteworksによるセキュアなデータ交換のコントロールプレーンが、なぜ境界防御だけでは不十分なのかを解説します。

主なポイント

1. インフォスティーラー由来の記録こそが実際の脅威であり、過去のコレクションではない

240億件の大半は過去の侵害データの再利用ですが、インフォスティーラーログは異なります。これらの認証情報は現役のエンタープライズマシンから収集され、依然として有効な場合が多く、攻撃者が優先的に狙う実行可能なサブセットです。

2. 規制業界では、1回のログイン成功ごとに非対称な侵害責任が発生する

保護対象医療情報、制御されていない分類情報、規制対象の金融データなどに1件でも不正アクセスが発生すれば、必ず侵害通知が義務付けられ、法的リスクが発生します。アクセスされたデータ量に関係なく、です。

3. パスワード層のセキュリティは、240億件規模ではすでに破綻している

パスワード管理でエンタープライズデータを十分に守れるという前提は、もはや成立しません。多要素認証属性ベースアクセス制御、継続的な監査ログは、機密データを扱う環境において必須の最低限の対策です。

4. セキュアなデータ交換のコントロールプレーンは、認証情報窃取後の最後の実効的防御

盗まれた認証情報で認証に成功した攻撃者は、ファイル転送ポータル、セキュアメール、コラボレーション環境など、機密データが実際に存在する場所を狙います。統合されたコントロールプレーン(単一のポリシーエンジン、監査ログ、セキュリティ体制)は、攻撃者の到達範囲と記録内容を制限します。

5. クレデンシャル・スタッフィングのリスクは、コンプライアンスリスク管理台帳および経営層報告に含めるべき

240億件の記録、活発なインフォスティーラー攻撃、医療・防衛・金融分野の厳格な規制体制が重なり、認証情報ベースのアカウント乗っ取りはもはや技術的課題ではなく、ガバナンス上の最優先事項となっています。

組織のセキュリティを信じていますか。その確証はありますか?

Read Now

240億件の記録に含まれる2つのデータ群

大規模な認証情報集約を「古い話」として軽視するセキュリティ専門家もいますが、それはコレクション部分に限れば完全に間違いではありません。Cybernewsが特定した240億件の大半は、長年アンダーグラウンド市場で流通してきた過去の侵害データセットです。多くの認証情報はすでに変更済みであり、アクセス先のシステム自体が存在しない場合もあります。パスワード管理を徹底し、侵害通知サービスを監視し、定期的な認証情報のローテーションを実施しているセキュリティチームであれば、多くのリスクをすでに解消しているでしょう。

しかし、インフォスティーラー由来の記録は本質的に異なる問題です。

インフォスティーラーは、感染したマシンから認証データを抽出するために設計されたマルウェアの一種です。ブラウザに保存されたパスワードの読み取り、パスワード不要で認証できるセッションクッキーの抽出、ログイン時のキーストロークの取得、デスクトップのパスワードマネージャーからの認証情報収集などを行います。その出力は、サイトやアプリごとに整理されたユーザー名・パスワード・セッショントークンを含む構造化された「ログ」として、感染から数時間〜数日以内にアンダーグラウンド市場で売買されます。

エンタープライズ環境にとっての影響は極めて直接的です。従業員のマシンがインフォスティーラーに感染すると、その従業員の認証情報全体が攻撃者に渡ることになります。アクセスするすべてのエンタープライズアプリ、ログインするファイル共有ポータル、認証するセキュアメールプラットフォーム―すべてがログに記録されます。エンタープライズ側は、従業員の端末がエンドポイント検知でアラートを出すか、攻撃者が盗んだ認証情報を実際に使うまで、この事実を把握できません。

同週に公表されたFortiBleedキャンペーン(194カ国のFortiGateデバイスから8万6千件の有効な認証情報が集約・公開された事例)が関連するのは、AIを用いたターゲット特定と自動パスワードスプレーによって認証情報セットの拡張・検証が行われた点です。大規模な認証情報集約とAIによる検証の組み合わせにより、盗まれた認証情報が実際のアクセス権に変換されるスピードが加速しています。すべてのエンタープライズアプリでMFAを一貫して適用していない組織は、この現実に対して十分な対策が取れていません。

規制業界が直面する異なるリスク計算

すべての組織がクレデンシャル・スタッフィングのリスクに直面していますが、HIPAA、CMMC、FedRAMP、ITARなどのフレームワークが適用される組織は、1回の認証成功の結果が「そのアカウントがアクセスできるもの」と「そのアクセスが引き起こす報告義務」に完全に依存するため、質的に異なるリスクプロファイルとなります。

HIPAAコンプライアンス要件下では、保護対象医療情報への不正アクセスが発生した場合、攻撃者がデータを持ち出したかどうかにかかわらず、侵害通知義務が発生します。従業員の認証情報で医療情報システムにログインし、PHIにアクセスした場合(閲覧のみでも)、それはHIPAA侵害通知規則上の報告対象となります。対象組織は、影響を受けた個人、米国保健福祉省、500人以上のインシデントの場合は該当州の主要メディアにも通知しなければなりません。その通知や調査にかかるコストは、ファイアウォールやエンドポイント保護への投資額をはるかに上回ることもあります。

CMMC 2.0コンプライアンス要件下では、制御されていない分類情報(CUI)にアクセスされた場合、DFARS 252.204-7012に基づき72時間以内のインシデント報告義務が発生します。また、組織のCMMC認証ステータスの再評価が必要となる可能性もあります。認証情報の侵害によるCUI漏洩を経験した防衛請負業者は、インシデント対応コストだけでなく、DoD契約の競争参加を可能にするCMMC認証の喪失や一時停止リスクにも直面します。

FedRAMPコンプライアンスでも、クラウドサービスプロバイダーや連邦機関に対して同様の義務が課され、連邦データへの不正アクセスが発生した場合は、直ちに該当機関およびCISAへのインシデント報告が必要です。

この非対称性は明白です。消費者向け小売企業で認証情報が侵害された場合は詐欺リスクにとどまるかもしれませんが、医療機関、防衛請負業者、連邦機関では、政府への強制報告、法的措置、認証への影響など、インシデント自体のコストをはるかに超える結果を招きます。各フレームワークごとに認証情報ベースのアカウント乗っ取りシナリオをリスク評価に明示的に組み込んでいない組織は、重大なギャップを抱えたまま運用していることになります。

コンテンツプラットフォームを狙うクレデンシャル・スタッフィングの手口

攻撃者が大規模な認証情報データベースをエンタープライズのコンテンツプラットフォームにどう使うかを理解することで、認証層だけでなく防御アーキテクチャ全体の重要性が明らかになります。

クレデンシャル・スタッフィング攻撃は、一定のパターンで進行します。攻撃者は、Cybernewsが記録したようなコレクション集約、購入したインフォスティーラーログ、標的型フィッシングなどから認証情報セットを入手し、ターゲットプラットフォームに対して自動テストを開始します。最新のクレデンシャル・スタッフィングツールは、分散IPアドレスやユーザーエージェントを切り替えながら、1分間に数万件の認証ペアをWebアプリケーションに試行し、レート制限や検知を回避します。認証に成功すると、そのアクセスを記録し、手動または自動で後続の行動に移ります。

この後続ステップでコンテンツプラットフォームが狙われます。攻撃者は、エンタープライズアカウントへのアクセスが確認できても、すぐに大量データを持ち出すことはありません(それではボリューム検知に引っかかるため)。通常のユーザー行動を装い、数日〜数週間潜伏し、高価値ファイルを探します。内部ディレクトリやコミュニケーションプラットフォームで追加の認証情報やセッショントークンを取得し、さらなるアカウントへの横展開を図る場合もあります。実際に動く際は、契約書、財務記録、技術図面、医療記録、規制データなど、直接マネタイズや恐喝に使える文書が標的となります。機密コンテンツを機密度別にラベル付け・アクセス制限するデータ分類管理は、このような標的化行動への直接的な対抗策となります。

同時期に公表されたKlueサプライチェーン攻撃(攻撃者が侵害されたOAuthトークンを使い、LastPass、HackerOne、Huntress、Jamf、OneTrust、Recorded Future、Snyk、TaniumなどのSalesforce環境にアクセスした事例)も、まさにこのパターンに従っています。認証メカニズムは異なります(OAuthトークンとパスワードの違い)が、目的は同じで、認証済みで大規模な文書リポジトリや業務データへのアクセスです。サプライチェーンリスク管理の観点では、サードパーティによるエンタープライズ環境へのアクセスが、内部の衛生管理だけでは防げない認証情報漏洩経路を生み出していることが重要な示唆となります。

セキュアマネージドファイル転送セキュアメールSFTP、コラボレーション型コンテンツプラットフォームを利用する組織にとって、クレデンシャル・スタッフィングの脅威は極めて現実的です。これらはまさに機密性の高い規制データが存在し、従業員の認証情報がブラウザに保存され、インフォスティーラーに収集されやすいアプリケーションです。

パスワード層はすでに破られている理由

パスワードベース認証をセキュリティ対策とみなす根本的な問題は、パスワードが秘密のまま保たれることを前提としている点です。240億件もの認証情報が漏洩し、インフォスティーラーが新たな情報を継続的に収集している現状では、大規模な組織にとってその前提はもはや成立しません。

パスワードローテーションポリシーは一定の効果がありますが、完全な解決にはなりません。従業員の認証情報がインフォスティーラーに盗まれ、組織が90日ごとにローテーションしている場合、攻撃者はその90日間、自由に認証情報を利用できてしまいます。侵害通知サービスのトリガーでローテーションを実施する場合も、認証情報の窃取から組織が気付くまで数日〜数週間のタイムラグが生じます。インフォスティーラーはまさにこの隙間を狙って活動します。

セッショントークンの窃取はさらに問題を深刻化させます。最新のインフォスティーラーはパスワードだけでなく、パスワード不要で認証できるブラウザのセッションクッキーも取得します。これにより、MFAが有効な環境でも、正規のMFA認証後に発行されたセッショントークンを使ってMFAをバイパスできます。盗まれたクッキーによるセッションハイジャックは、被害者のパスワードを知らなくても成立する攻撃手法として知られています。

このような状況下では、「認証情報が侵害されていることを前提に防御を設計する」必要があります。これがゼロトラスト・セキュリティ原則の論理です。つまり、「有効な認証情報を提示したからといって、そのユーザーが本人であると信頼しない」。継続的な検証、行動分析、ポリシーベースのアクセス制御によって、認証情報が侵害されていても有効な防御を維持します。

アプリケーション層でのID・アクセス管理(ネットワーク境界だけでなく)が、認証情報の侵害が侵害につながるか、ブロック・記録されるかを決定します。クレデンシャル・スタッフィング攻撃を数時間以内に検知できる組織と、数カ月後に発覚する組織の違いは、セキュアなデータ交換のコントロールプレーン全体に適用されるアクセス制御と監視の深さ・一貫性です。CISOダッシュボードによる全チャネル横断の異常アクセス可視化は、監査ログをフォレンジックツールから運用上の検知能力へと昇華させます。

コントロールプレーンでの防御構築

認証情報ベースのアカウント乗っ取りがもたらす規制上の影響(特に医療・防衛・金融分野)は、「機密データが実際に移動するレイヤー」でコントロールを適用するという明確なアーキテクチャ要件を生み出します。ネットワーク境界やIDプロバイダーだけでは不十分です。

境界防御は有用ですが、この脅威モデルに対しては十分ではありません。侵害された認証情報は、定義上、境界防御を通過して認証されます。攻撃者は、ユーザーの通常のロケーションや利用時間帯に一致するIPアドレスから有効なトークンを提示します。境界ベースの検知だけでは、侵害セッションと正規セッションを十分に区別できません。

ゼロトラストアーキテクチャが提供するのは、まさにこの追加コンテキストです。コントロールプレーンで属性ベースアクセス制御(ABAC)を適用することで、データの機密度、ユーザーの役割、デバイスのコンプライアンス状況、行動コンテキストなどに基づくきめ細かなポリシーを強制できます。認証情報が侵害されたユーザーが認証に成功しても、その後の行動がベースラインから逸脱したり、役割外のデータにアクセスしようとした場合、ABACポリシーがアクセスを遮断し、アラートを生成します。

継続的な監査ログは、このアーキテクチャをコンプライアンス上防御可能にする証拠要素です。規制当局や原告から「侵害されたアカウントがいつ何にアクセスしたのか」と問われた際、具体的なタイムスタンプ付き・改ざん不可能な記録を提示できなければなりません。単に「アクセス制御があった」と一般論で説明するだけでは不十分です。証拠を提出できない組織は、FTCによるIlluminate Educationへの措置など、規制当局が近年指摘している「リスク認識はあるが検証可能なコントロールがない」こと自体がコンプライアンス違反となる問題に直面します。

コントロールプレーン内のDLPは、最終的な封じ込めレイヤーを提供します。PHI、CUI、PII、財務記録などの規制対象データを検査し、承認されていないチャネルでの送信をブロック・隔離・アラート化します。仮に侵害アカウントが機密データにアクセスできても、DLPポリシーが持ち出しを阻止できます。コントロールプレーンレベルでのデータ最小化原則により、各アカウントには役割に必要なデータのみが付与され、権限上可能な最大データへのアクセスは制限されます。

Kiteworksは、セキュアなデータ交換のコントロールプレーンとして、ABACの強制、エンドツーエンド暗号化、不変の監査ログ、DLPを統合し、メール、ファイル共有、SFTP、MFT、API、AI連携など、機密データが移動するすべてのチャネルを横断するガバナンス層を提供します。これにより、規制組織は「認証情報が侵害され攻撃者が認証に成功した場合、実際に何にアクセスできるのか、持ち出しを防ぐコントロールは何か、何が記録されているのか」という問いに答えられるアーキテクチャを実現できます。

コンプライアンスチームが今すぐ実施すべきこと

240億件の記録集約は、個別の公表に関係なく、コンプライアンス・法務・セキュリティチームが議論すべき重要な契機です。

まず、認証情報漏洩の監視は、個別の公表に反応するのではなく、継続的なリスク評価機能として扱うべきです。商用の侵害通知サービスは、従業員の認証情報が既知の漏洩集約に現れた際、ほぼリアルタイムでアラートを提供できます。その情報を受けたら、即座にパスワード変更とアカウントレビューを実施し、次回の定期ローテーションまで待つべきではありません。

次に、MFAの適用状況を、規制データにアクセスするすべてのアプリケーションで検証すべきです。多くの組織はネットワーク境界でMFAを強化していますが、従業員が利用するすべての下流アプリケーションで一貫して適用できていない場合があります。ファイル転送ポータル、メールプラットフォーム、ドキュメントコラボレーション環境が典型的な抜け穴です。

さらに、HIPAAコンプライアンス、CMMC 2.0コンプライアンス、FedRAMPコンプライアンスプログラムには、クレデンシャル・スタッフィングの脅威を明示的にリスク評価に含めるべきです。「規制データに対する脅威は何か?」という標準的なリスク評価の問いに対し、「従業員の認証情報が侵害された場合に何が起こるか、その認証情報でどのデータにアクセスできるか、現行のアクセス制御と監査ログでインシデントの検知・封じ込めが十分か」を具体的に分析してください。

最後に、規制環境のイベントログ・監視インフラを、「認証済みだが悪意のあるセッション」という特定の脅威に照らして見直す必要があります。これは、失敗したログイン試行の監視とは異なります。認証済みセッションの行動分析によって、通常のユーザー行動と異なるアクセスパターンを検知する必要があります。これはネットワーク境界ではなく、セキュアなデータ交換のコントロールプレーンで実現される機能です。また、インシデント対応計画に、認証情報ベースのアカウント乗っ取りシナリオを明記し、各規制フレームワークごとの報告義務に対応した運用手順書を整備してください。

240億件の記録集約は、数カ月以内にさらに大規模なものに塗り替えられるでしょう。最も危険な記録を生み出すインフォスティーラーエコシステムは減速していません。正しい対応は、個別の公表に過剰反応することではなく、「認証情報の侵害をデータ侵害ではなく、封じ込め可能なインシデントにとどめるアーキテクチャ」を構築することです。

規制環境における認証情報ベースのアカウント乗っ取りリスクにKiteworksがどう対応しているか、カスタムデモを今すぐご予約ください

よくある質問

クレデンシャル「コレクション」とは、過去に発生した複数のデータ侵害から集約されたユーザー名とパスワードのペアのデータセットです。コレクション内の認証情報はすでにローテーションされていたり、アクセス先のシステムが廃止されている場合もあります。一方、インフォスティーラーログは本質的に異なります。これは感染マシン上で実行中のマルウェアがリアルタイムで認証情報を収集した出力であり、まだ有効な認証情報が含まれている可能性が高いです。セキュリティチームが侵害集約を評価する際、コレクション部分は過去の曝露、インフォスティーラー部分は現在進行形の運用リスクを示します。ゼロトラスト・セキュリティ原則は、認証情報の有効性が前提とできない環境のために設計されており、認証情報だけに依存しない継続的な検証を提供します。組織は、インフォスティーラー特有のシナリオをセキュリティリスク管理フレームワークに組み込み、この脅威のスピードに合わせた検知・対応能力を確保すべきです。

クレデンシャル・スタッフィングは、自動化された攻撃手法で、漏洩集約から取得したユーザー名とパスワードのペアをターゲットWebアプリケーションに対して試行します。最新のツールは分散IPアドレスを切り替え、リクエストパターンを変化させてレート制限やIPブロック防御を回避するため、ボリュームベースの検知が困難です。攻撃は、盗まれた認証ペアがターゲットアプリでまだ有効だった場合に成功します。これは、ユーザーが複数サービスでパスワードを使い回していたり、侵害後に認証情報を変更していない場合に多発します。検知には、失敗したログイン試行の監視だけでなく、認証済みセッションの行動分析が必要です。監査ログでデバイス・ロケーション・行動コンテキストを含めてすべてのアクセスイベントを記録することが、侵害セッションの事後特定に不可欠です。これらのログをSIEMに連携し、行動分析を適用することで、クレデンシャル・スタッフィングセッションがデータ持ち出しに発展する前にリアルタイムでアラートを受け取ることができます。

MFAはクレデンシャル・スタッフィング攻撃のコストを大幅に引き上げ、静的なユーザー名とパスワードのペアに依存する大半の攻撃を阻止します。しかし、MFAは絶対的な防御策ではありません。最新のインフォスティーラーは、正規のMFA認証後に発行されたブラウザのセッションクッキーも取得できるため、MFA要件を完全にバイパスしたセッションハイジャックが可能です。また、一部のMFA実装はSIMスワップ攻撃、リアルタイムフィッシングフレームワーク、ソーシャルエンジニアリングなどで回避される場合もあります。MFAの適用は不可欠なコントロールですが、あくまで多層防御アーキテクチャの一要素として扱うべきです。コントロールプレーンレベルでのABAC制御は、認証が侵害されていても有効に機能し、侵害セッションの到達範囲をポリシーベースで制限します。MFAとデータガバナンスポリシーを組み合わせ、各役割がアクセスできるデータを制限することで、MFA突破時の被害を最小化できます。

義務内容は、侵害されたアカウントがアクセスした規制データの種類によって異なります。HIPAAコンプライアンス下では、保護対象医療情報(PHI)への不正アクセスが発生した場合、カバードエンティティが4要素リスク評価で低リスクを証明できない限り、影響を受けた個人と米国保健福祉省への通知が義務付けられます。CMMC 2.0コンプライアンス下では、CUIへの不正アクセスが発生した場合、DFARS 252.204-7012に基づきDoDへの72時間以内のインシデント報告が必要です。FedRAMPでは、連邦データへの不正アクセスが発生した場合、該当機関およびCISAへのインシデント報告が義務付けられます。HIPAAコンプライアンスやCMMC 2.0コンプライアンスプログラムでは、認証情報ベースのアカウント乗っ取りをインシデント対応計画に明記すべきです。GDPR対象組織は、個人データが関与する場合、監督機関への72時間以内の通知義務が並行して発生します。

対応は、漏洩した認証情報のリスクプロファイルに応じて段階的に行うべきです。PHI、CUI、PII、財務記録など規制データにアクセスできる従業員が侵害通知サービスで検出された場合、即時の認証情報ローテーションとアカウントレビューを最優先で実施します。次に優先すべきは、これらの従業員が規制コンテンツにアクセスするすべてのアプリケーションでMFAを徹底することです(IDプロバイダーだけでなく)。中期的には、ネットワーク境界だけでなくコンテンツ層でのアクセス制御と監視が、侵害セッションによるデータ持ち出しを事前に検知・封じ込めるのに十分かどうかを検証します。HIPAAやCMMC対象組織では、この検証を継続的なリスク評価プロセスの一環として文書化してください。規制データ環境にアクセスするベンダーのサードパーティリスク管理レビューも並行して実施すべきです。ベンダー端末のインフォスティーラー感染も、内部端末と同様の認証情報漏洩リスクを生み出します。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証する
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで検知された機密データを安全に保護する方法
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める
  • 動画 ITリーダーのための機密データ安全保管決定版ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

Table of Content
Share
Tweet
Share
Explore Kiteworks