ブログ

160億件の認証情報が流出しました: この情報窃盗による漏洩がアプリケーション セキュリティ見直しを必要とする理由

デレク・イー サムネイル
デレク・イー
2025年6月27日 発表

最新のCyberNews報告によると、インフォスティーラー マルウェアのログや過去の侵害から蓄積された160億件を超える認証情報の漏洩は、デジタルアイデンティティでユーザーとサービスを守る組織にとって極めて重要な警告です。 これは単一の侵害ではありませんが、これほど大量のデータが集約・閲覧可能になったことで、脅威のリスクが大幅に高まっています。 

この漏洩は、Apple、Google、Facebook、Microsoftの主要サービスや企業のSaaSプラットフォームに関わる認証情報を幅広く影響します。 その結果、消費者と企業の両方の環境でアカウント乗っ取りの成功リスクが高まります。

本当のリスクは、大規模な自動化です

認証情報の漏洩は今に始まったことではありません。 しかし、いま異なるのは認証情報の悪用が工業的に拡大していることです。 インフォスティーラーが感染した端末から密かに認証情報を集め、それらをまとめて販売したり一括で流出させたりしています。 今年初めに公開した当社の社内調査によれば、F5のお客様全体のログインの約3分の1が、漏洩した認証情報によって試行されました。 その多くは、侵害された認証情報を知らずに再利用している正規ユーザーであり、アカウント乗っ取り(ATO)攻撃の時限爆弾となっています。

ここで自動化が脅威を倍増させます。 ボットは決して休みません。 タイプミスもありません。 そして、何千ものサイトにわたり、何十億もの認証情報を正確に試し続けます。 2025年 高度持続的ボットのレポートが示す通り、ボットは現在、全WebおよびAPIトラフィックの10%以上を占め、クレデンシャル スタッフィングやアカウント乗っ取り(ATO)が主な攻撃の流れです。

なぜこのリークが今、重要なのか

CyberNewsのレポートは重大な変化を示しています。認証情報の悪用のハードルが劇的に下がったのです。 160億件もの認証情報が流通している今、攻撃者はシステムを侵害する必要はなく、単に一致する情報を見つければいいだけです。 住宅用プロキシネットワークやボット・アズ・ア・サービスの普及により、未熟な攻撃者でも効率の良い攻撃を仕掛けられます。

これは単なるセキュリティの問題ではなく、ビジネスリスクです。 ATOは不正行為、顧客離れ、ブランドの損傷、そして規制上のリスクを招きます。 レート制限やCAPTCHAなどの従来の防御策では、もはや十分ではありません。

多要素認証(MFA)を導入している組織でさえ安全ではありません。 なぜでしょうか? 攻撃者は今もログインページを標的にして、次のことを狙っています。

  • 盗まれた認証情報を販売する前に必ず検証しましょう。
  • プッシュ通知を連続で送信し、ユーザーにMFA疲労攻撃を仕掛けます。
  • パスワードリセットやSMSによる復旧など、フォールバックの手段を活用してください。
  • 行動データを収集して、次の攻撃の精度を高めましょう。

要するに、あなたのログインページがインターネットにさらされているなら、ボットにもさらされています。そして、ボットはMFAの有無を気にしません。  私たちはF5 Labs アイデンティティ脅威レポートで、多様なMFAバイパス手法を詳しく分析しました。

組織が取り組むべきこと

侵害を前提に考える: パスワードだけに頼るなら、すでに侵害されていると見なしてください。

既存の多要素認証をさらに強化しましょう: MFA はセキュリティ向上に貢献しますが、巧妙なボットはそれを突破することもあります。 これらのボットはログインエンドポイントを標的にするだけでなく、正規のトラフィックに紛れてしまい、検出をより一層難しくします。 だからこそ、善良なボットと悪意ある行動をしっかり見分けることがより重要です。 

F5 Distributed Cloud Bot Defense は、業界トップの独自シグナル収集と難読化技術を駆使し、ボットを確実に分類してスコアリングモデルに頼らずに検出します。 脅威インテリジェンスの専門家があなたのセキュリティチームを支援し、ユーザー体験を損なうことなくクレデンシャル スタッフィングをリアルタイムで検出・対策します。  

F5 分散クラウドボット防御の概要をご紹介します。

教育と警戒: あなたは認証情報の再利用によるリスクを理解する必要があります。 組織はサードパーティから漏洩した認証情報の大規模データセットを継続的に監視するか、侵害情報を集約する商用またはオープンソースの脅威インテリジェンスフィードを購読しましょう。 利用者の認証情報が漏洩データセットに含まれると判明した場合、速やかに通知するとともにパスワードのリセットを案内します。

協力と共有: 業界間で脅威インテリジェンスを共有することは非常に重要です。 新しいボットの動きを素早く特定して対応できれば、マルチクラウド エコシステムを強固に守れます

さあ、始めましょうか?

F5 スペシャリストによるボット管理評価をスケジュールします