- 認証情報の窃盗は、AIとサイバー犯罪サービスモデルの登場により、産業化されている。
- Telegramとダークウェブは、アカウントやネットワークへのアクセス権を売買するための活発なマーケットプレイスを形成している。
- パスワードの大量使い回しとAIの不注意な使用が、重大なデータ漏洩につながる。
- 防御策としては、パスワードへの依存をなくし、ブラウザ、AI、そしてTelegramのようなチャンネルを監視することが挙げられる。
人工知能の台頭のさなか、 文字、数字、記号を組み合わせた一般的な「強力なパスワード」は、もはや信頼できる防御策とは言えない。たとえ16文字のパスワードであっても、マルウェアがブラウザから直接抜き取ったり、従業員が日常業務の一環として不注意にもAIチャットボットに貼り付けてしまったりすれば、あまり役に立たない。
サイバーセキュリティの専門家は、 本当の脅威はもはや弱いパスワードだけではなく、巨大な 盗まれた認証情報の市場この市場は生成型AIへの依存度を高めており、従来のダークウェブフォーラムからプライベートチャンネルやTelegramボットへと移行し、他人のアカウントへのアクセス権を数秒で購入できるようになっている。
「強力なパスワード」という神話から、闇市場の現実へ
毎年5月7日に祝われる世界パスワードデーを記念して、チェック・ポイント・ソフトウェアなどのサイバーセキュリティ企業は、 「記号を含む長いパスワードを使う」という昔ながらのアドバイスは、明らかに時代遅れになっている。サイバー犯罪業界は質的な飛躍を遂げた。攻撃者はもはやパスワードを推測したり解読したりする必要がなくなり、既製のパスワードを購入できるようになったのだ。
スペインとポルトガルの同社の技術マネージャーが指摘するように、 パスワードは、アクセスを阻む主要な障壁から、構造的な弱点へと変化した。今日、それらは盗まれた認証情報が大量に売買され、自動攻撃を実行したり、企業ネットワークに侵入したりするグローバルな仕組みの一部となっている。
この変化は、新たな経済モデルに対応したものです。 サイバー犯罪サービス(CaaS)クラウドサービスを契約するのと同様に、悪意のある攻撃者は高度な技術的専門知識を必要とせずに、事前に設定されたツール、インフラストラクチャ、またはアクセス権を有料で購入できる。生成型AIは参入障壁をさらに下げ、プロセス全体の自動化を容易にしている。
この文脈では、複雑なパスワードは、 infostealer ―情報窃盗に特化したマルウェア― これはブラウザやシステムキャッシュから情報を抽出し、攻撃者のサーバーに送信します。被害者が適切な企業管理体制なしにAIツールに認証情報や機密データを入力した場合にも、同様のことが起こります。
Telegram、ボット、そして認証情報闇社会の新たな顔
盗まれたアクセス権を売買する秘密市場は、その様相を変えた。 ダークウェブの古典的なフォーラムは、ほとんど「制度的」な役割に追いやられてしまった。これらのプラットフォームは、販売者が認知度を高め、評判を築くのに役立つが、認証情報の迅速な売買は主にTelegramに移行している。
プライベートチャンネルや制限付きグループでは、 ボットは、データの売買やフィルタリングを可能にするために動作する。 数秒で彼らは個人アカウントからオンラインサービスへの大量アクセスまで、AIプラットフォームの認証情報、企業向けVPN、管理パネルなど、あらゆるものを提供している。データ窃盗による収益化は即座に実現する。初心者のサイバー犯罪者は、欲しい商品にお金を払うだけで済むのだ。
ダークウェブとその関連チャネルの価格に関するレポートは、かなり明確な状況を示している。 ソーシャルネットワークとエンターテイメントサービス供給過剰により価格が下落しており、侵害されたFacebookアカウントは約45ドル、Gmailアカウントは約60ドルから65ドルとなっている。
金融セクターでは、その格差はさらに大きい。 CVV付きクレジットカードは10ドルから40ドルの間で販売されています。しかし、高額の残高を持つオンラインバンキングや暗号通貨ウォレットへの認証済みアクセスは、簡単に1.000ドルを超え、価格指数によっては1.170ドルを超える場合もある。
本当のビジネスは 企業アクセス初期アクセスブローカー(IAB)は、特定のビジネスネットワークへの入り口を確保することに特化しています。IABの平均基本料金は VPN経由でアクセス リモートデスクトッププロトコルの費用は約2.700ドルだが、管理者権限の高い認証情報が必要な場合は、その額は113.000ドル以上に跳ね上がる可能性がある。
その市場に対応するため、攻撃者は多種多様なツールを自由に利用できる。 最高レベルの情報窃盗マルウェアの購読LummaC2やRedLineといったサービスは、Telegramなどのチャンネルで提供されており、月額料金は100ドル強から1.000ドル強となっている。このような価格であれば、限られたリソースしか持たないグループにとっても、数百万ものパスワードを盗むことは比較的安価になっている。
再利用の蔓延とデータ漏洩におけるAIの役割
この犯罪エコシステムの成功は、技術的な高度化だけでは説明できない。 盗まれた認証情報市場の真の原動力は人間の行動である長年にわたる啓発キャンペーンと パスワードマネージャー94%の人が依然として2つ以上のサービスで同じパスワードを使い回しており、NISTなどの組織が推奨する複雑性基準を満たすパスワードを使用している人は少数派(約3%)に過ぎない。
単一のプラットフォームで侵害が発生した場合、 サイバー犯罪者が自動化された認証情報スタッフィング攻撃を仕掛ける彼らは盗んだユーザー名とパスワードを無数の異なるサイト(メール、ソーシャルメディア、銀行、企業サービスなど)で試します。よくあることですが、ユーザーが同じパスワードを使い回すと、強制的に侵入する必要もなく、次々とアクセスできるようになります。
この構造的な問題は、 より最近の要因:生成型人工知能すでにデジタル活動の大部分を集約しているブラウザは、ビジネスとAIツールをつなぐ完璧な架け橋となっているが、必ずしも十分な監視が行われているわけではない。
様々なブラウザのセキュリティ分析によると、 AIサービスにおける情報の「コピー&ペースト」という行為は、企業データの流出手段として、ファイル送信を凌駕する主要な手段となっている。従業員の約45%がAIツールを積極的に利用しており、そのうち約77%が、組織の管理下にない個人のアカウントから、機密情報を含むデータをチャットボットへのリクエストに直接貼り付けている。
Check Pointなどの企業の研究チームが収集したデータによると、 2026年3月時点で、企業環境における生成型AIソリューションとのやり取りの28件に1件は、機密情報漏洩のリスクが高いものであった。さらに、GenAIを定期的に利用している組織の約91%が何らかのインシデントを経験しており、かなりの割合のリクエストには、重要ではないものの、チェックなしに公開すべきではないデータが含まれている。
この怠慢と新技術の組み合わせが、別の現象を引き起こした。 AIプラットフォームからの認証情報の大量窃盗脅威インテリジェンス企業は、OpenAI/ChatGPTなどのサービスで使用される22万5000件以上のユーザー名とパスワードの組み合わせが、感染したデバイスから取得された後、販売されていることを確認した。これらのログイン情報が企業アカウントで使用されると、データ漏洩の悪循環は明らかだ。
フィッシング2.0、ディープフェイク、大規模な個人情報窃盗
AIはデータの管理に役立つだけでなく、 それは古典的な欺瞞技術を徹底的に洗練させた。数十年にわたり蔓延してきた詐欺メールであるフィッシングは、新たな局面を迎えている。Telegramなどのプラットフォームでは、AIを活用した「フィッシング・アズ・ア・サービス」キットが、月額100ドル未満で提供されている。
最も一般的な餌は、これまでと変わらず同じです。偽のパスワードリセット通知、人事部からの通知を装ったもの、または不正なVPNポータルしかし、大きな違いが一つある。それは、生成AIのおかげで、目立った誤りもなく、被害者の状況に合わせてほぼ完璧な品質で書かれた文書が届くようになったことだ。
最近の研究によれば AIが生成したフィッシングメールは、最大54%のクリック率を達成する。これは、従来のキャンペーンにおける約12%と比較すると、効果の飛躍的な向上を示しており、従業員が攻撃者によって管理されているフォームに認証情報を入力する可能性を大幅に高めています。
問題は文章だけにとどまらない。 人工知能によって生成される合成画像、動画、音声であるディープフェイクの出現は、なりすましの可能性を劇的に高めた。身元詐称に関する報告によると、近年ディープフェイクの使用は3.000%近く増加しており、すでに数百万ドル規模の被害をもたらす実際の事件が発生している。
最も懸念されるベクターの1つは、いわゆる 音声ディープフェイクを使ったフィッシング詐欺今日では、ほんの数秒の音声だけで、人の声をほぼ見分けがつかないほどに複製することが可能です。専門誌によると、音声クローン技術は、一般のリスナーにとって偽の声と本物の声を区別することが非常に困難なレベルに達しており、金融関係者や支払担当者を標的とした電話詐欺の温床となっています。
極めて高度なディープフェイク動画通話の事例も報告されている。 最も有名な事例の一つでは、あるエンジニアリング会社が、財務担当取締役を含む複数の幹部とされる人物が実際にはAIによって生成された合成画像であったビデオ会議の後、約25,6万ドルを送金した。このような状況は、テキスト、音声、動画といった複数の手段を用いた攻撃が、もはや仮説上のシナリオではなく、現実の脅威となっていることを示している。
プラットフォームの対応とモデレーションの役割
Telegramがデータ売買のためのインフラとして利用されていることがますます明らかになってきていることから、 プラットフォーム自体が、利用規約の中で個人情報の配布を明確に禁止していると主張している。同社は、このようなコンテンツは検出され次第、直ちに削除すると述べている。
しかし、盗まれたパスワードや企業アクセス認証情報の取引に関連する活動の多くは、 監視が困難なプライベートチャンネルやクローズドグループ暗号化、トラフィック量、そしてボットの集中的な使用が組み合わさることで、モデレーション作業は著しく複雑化し、サイバー犯罪者が最も安心して活動できる環境となる。
組織とユーザーにとって、これは次のことを意味します。 プラットフォームのモデレーションに頼るだけでは不十分だその裏社会の大部分は今後も存続すると想定する必要があり、したがって、攻撃対象領域を縮小することに重点を置くべきである。具体的には、パスワードを唯一の認証要素とする価値を制限し、機密データの漏洩に対する管理を強化する必要がある。
パスワードレスモデルに向けて:FIDO2、ゼロトラスト、継続的モニタリング
このシナリオを踏まえて、専門家は次のように同意する。 パスワードだけでは、もはや信頼できるセキュリティの柱とは言えない。中期的な目標は、それらの重要性を徐々に低下させ、再利用可能または容易に取引可能な認証情報を生成しない認証モデルへと移行することである。
最も頻繁に言及されるアプローチの1つは、 標準規格に基づくパスワードレス技術 FIDO2この方式は、ユーザーのデバイスに紐づけられた暗号鍵(物理キー、携帯電話やコンピュータのセキュアモジュールなど)を利用するため、たとえ誰かが偽のページでユーザーを騙そうとしても、盗まれて他のサービスで悪用される可能性のあるパスワードは存在しません。
並行して、 アイデンティティと行動に焦点を当てたゼロトラストセキュリティ単一のユーザー名とパスワードによる認証でアクセスを許可するのではなく、接続元、使用デバイス、実行した操作、そしてその行動が普段のパターンと一致するかどうかといったコンテキストを継続的に評価するという考え方です。
これを実現するために、多くの企業は以下のソリューションを組み合わせています。 エンドポイント検出・対応(EDR)とID脅威検出・対応(ITDR)ツール両方の世界からの信号を相関させることで、例えば予期しない場所からの使用や、通常の使用とはかけ離れた操作量など、正当な認証情報が異常に使用されている場合をより正確に特定することが可能になります。
もう一つの重要な戦線は ナビゲーションベクトルの制御とAIツールの使用ファイル転送の監視に重点を置いた従来のデータ損失防止(DLP)ソリューションは、機密情報が外部のチャットボットにコピー&ペーストされることが主な問題である場合、不十分です。
そのため、ますます多くの組織が検討している 強化された企業向けブラウザまたは特定のセキュリティ拡張機能特定のサイトに投稿された内容を監視したり、特定の種類の情報が不正なAIサービスに送信されるのをブロックしたり、これらのツールの使用を自社が管理するインスタンスを通じて行うようにしたりすることが可能。
最後に、 ダークウェブやTelegramなどのチャンネルを常時監視する公式の侵害通知を待つのは手遅れになる可能性がある。最近の報告によると、認証情報を利用した侵害は、平均して約246日かけて検知・封じ込められ、ランサムウェア攻撃のほぼ半数は、盗まれたVPNアクセスを最初の侵入経路として利用している。
これらの市場を積極的に監視する企業は まず、あなたの資格情報が販売リストに掲載されていないか確認してください。それらを迅速に無効化し、ランサムウェアグループやその他の特に悪質な攻撃者の手に渡る前に対応すること。
AIが防御と攻撃の両方を加速させ、Telegramのようなチャネルが認証情報の闇社会の基盤となっている状況において、 「安全な」パスワードだけに頼り続けるのは、ほとんど信仰に近い行為だ。焦点は、従来のキーレス認証モデル、ユーザー行動の継続的な監視、およびアクセス権の売買が行われる場所の積極的な監視へと移りつつあります。こうすることで初めて、たとえパスワードが漏洩したとしても、闇市場での価値は実質的にゼロになると期待できるのです。
