7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る

7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る

 さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned(HIBP)」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。

 HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。

 ハント氏によると、今回の情報はクラウドサービスのMEGAで発見され、人気ハッキングフォーラムに画像付きで情報が掲載されて話題になっていたという。ルートフォルダには「Collection #1」の名称が付いていた。

 このフォルダ内のデータは1万2000本以上のファイルに保存されており、データ容量は計87GB超。ファイルに記載されたメールアドレスとパスワードの組み合わせは11億6000万件を超えていた。

 ただし、その中には重複しているものや、無関係のデータや記号などが含まれていたものもあり、ハント氏がデータを整理した上で、計7億7290万4991件のメールアドレスをHIBPに掲載した。1回でHIBPに掲載した件数としては過去最多になるという。

 一方、パスワードの一部はハッシュが解除され、平文に戻されていた。HIBPでは、電子メールとは別に、流出したパスワードを検索できる「Pwned Passwords」のサービスも提供しており、ハント氏は今回の流出情報に含まれていたパスワードのうち2122万2975件を、このサービスで検索できるようにした。

 今回見つかった情報の中には、ハント氏自身が過去に使っていた電子メールとパスワードも含まれていたという。ただし、いずれも今は使っていないパスワードだった。

 こうした形で流出したメールアドレスとパスワードの組み合わせを、通販サイトやSNSなどネット上のあらゆるサービスで自動的に試し、通用するかどうかをチェックするツールも存在しているという。ハント氏はユーザーに対し、流出が確認されたパスワードは決して使用せず、パスワードの使い回しを避けるなどの自衛策を講じるよう促している。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

もはや「バレないパスワードはない」 7億7300万件データ流出事件、対策はあるのか?

 先週、大変気になる見出しが、「ITmedia エンタープライズ」を含む各紙で踊りました。「7億7300万件の情報が流出し、闇フォーラムで流通していたのが発見された」というのです。

 とはいえ、大量のデータ流出を報じた記事を目にすると、最近は逆に疑ってしまうようになりました。というのも、こうしたケースで流出した情報は、“大量”とはいえ出所不明だったり、大昔のデータが含まれていて実際の影響は少なかったりする例もあるからです。しかし、「今回もその手合いか?」と懐疑的な視点で記事を読み始めた私は、「トロイ・ハント」の名前を見て、事件の深刻さを一瞬で理解しました。

 トロイ・ハント氏と言えば、海外では著名なセキュリティ専門家であり、必ず知っておきたい大変有用なWebサイト「Have I Been Pwned」の運営者でもあり、信頼できる情報筋だと私は判断しています。Have I Been Pwnedは、これまで流出したメールアドレスやパスワードを同氏が収集してデータベース化し、ユーザーが自分のアドレスが被害に遭っていないかどうか検索、確認できるようにしたサイトです。

 本稿執筆時点で、同サイトには、実に64億7402万8664件もの流出アカウントが記録されています。今回発見された7億7300万件の情報も、既に登録済みとのことですので、今回の件が気になる方はまず、このサイトに自分のメールアドレスを入力し、確認してみると良いでしょう。

 さて、今回の事件による被害は、報道されている「7億7300万件」という数字を実質的に上回る可能性も指摘されています。一体どういうことなのでしょうか?

●今回はまだ序章に過ぎない?「Collection #1」という名前が示すインパクト

 トロイ・ハント氏は、「Collection #1」と名付けられた今回の流出情報について、ブログ記事にまとめています。記事によれば、今回の情報は、もともと26億9281万8238行のメールアドレスとパスワードのセットとして見つかったとのこと。同氏がそれを整理して個々のメールアドレスを抽出し、7億7300万件のデータに絞ったそうです。パスワードも2122万2975件が抽出され、こちらもHave I Been Pwnedに登録されています。

 これらの情報は、さまざまなWebサイトから集められており、その中には同氏自身のメールアドレス、パスワードすらも含まれていたそうです。(ただし、今は使っていない古いパスワードであったとのこと)。

 また、今回の事件は、さまざまなセキュリティ関連ブログでも取り上げられています。

 そして不穏なのは、その「#1」という表現。著名なセキュリティジャーナリストのブライアン・クレブス氏が運営するブログ「Krebs on Security」の記事では、今回見つかった情報の他にも、「Collection #2~5が存在する」と報告しています。

 このコラムでは度々、Have I Been Pwnedを紹介していますが、取り上げるたびに登録されている情報の件数が増えており、「もはやID、パスワードは秘密でも何でもない情報になってしまった」という印象を強めています。2019年は、ユーザー側はもはや「Webサイトの秘密情報は漏れているかもしれない」という前提の下で、身近なものを守っていく必要があるでしょう。もちろん、サイトを運営する側も同様です。

 では、私たちユーザーが、今から確実にできる対策をご紹介しましょう。

●対策は“いつもの”基本2ケ条!

 私たちが採るべき対策は何でしょうか。これも毎回同じことを言っていますが、まずは「パスワードの使い回しをやめること」です。しかし、それだけでは精神論、根性論になってしまいますので、できる限り「パスワード管理ソフト」に頼ることをお勧めします。

 例えば、Have I Been Pwnedは、パスワード管理ソフト「1Password」と連携しており、もし漏えいが発覚した場合には「Watchover」という機能がアラートを挙げてくれます。トロイ・ハント氏自身も1Passwordのユーザーで、ブログ内で推奨しています。

 また、Have I Been Pwnedとも連携している「Firefox Monitor」を使えば、自分のメールアドレスが情報漏えいの対象になっているかどうかを判定できます。

・メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス

 とはいえ、パスワード管理ソフトを使うという行為は、一般ユーザーにとってまだハードルはかなり高いようで、知名度から考えても、普及したとは言いにくい状況です。周囲にユーザーがいれば、10分くらいデモをしてもらえば簡単に理解できるでしょう。ただし、そういったチャンスがない人には、パスワードを覚えずに使い回しを防げる方法――すなわち、アナログな「メモ」を推奨します。

 「今さらメモなんて」と見くびるなかれ、メモならば“流出”すれば物理的になくなるので、すぐに分かります。記憶だけに頼るよりは安全で、トロイ・ハント氏もブログ記事に「アナログなものも活用すべし」と記しています。

 一方、「2段階認証」は徐々に当たり前になってきました。これまでならば「万が一」の事象だったパスワード漏えいが、“千が一”“百が一”といった頻度になったいま、2段階認証こそが最後の壁になります。設定が可能なWebサービスも増えました。GoogleやApple ID、Facebook、Instagram、Twitter、Amazonなどの各種サービス、そして決済が簡単に行える日本の携帯電話事業者のIDなどは、必ず2段階認証を設定しておきましょう。それこそが、私たちに今確実にできる対策です。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏