iStock / iam-Citrus
1月17日、セキュリティ研究者らは世界最大規模のオンライン個人データ流出の詳細を公開しました。コレクション#1には、7億7,290万4,991件のメールアドレスに関連するパスワードとユーザー名が含まれていました。これらは1万2,000個のファイルに含まれる2,692,81万8,238行のスプレッドシートに分散されていました。そして、コレクション#2-5が登場しました。
Heiseが最初に報じた新たなCollectionの漏洩には、22億件の固有のユーザー名とパスワードが含まれています。合計で845GBのデータと250億件以上のレコードが含まれています。
コレクション#2~#5には、コレクション#1のほぼ3倍のユニークレコードが含まれています。これはハッカーにとってまさに金鉱です。これらのファイルは、ドイツのハッソ・プラットナー研究所とサイバーセキュリティ企業Phosphorus.ioのセキュリティ研究者によって分析されました。
Phosphorusの創設者クリス・ルーランド氏はWIRED.comに対し、130人以上がデータをダウンロードできるようにしており、これまでに1,000回以上ダウンロードされていると語った。これにより、情報が悪用される可能性が高まり、情報のコピーが一つだけではないことを考えると、ウェブから完全に削除されることはないだろう。
コレクション#1データベースを公開し、haveibeenpwned?を通じて自分の個人情報が漏洩していないか確認できるTroy Hunt氏のように、後続のコレクションファイルに自分の個人情報が含まれているかどうかを確認する方法があります。Hasso Plattner氏はInfo Leak Checkerを運営しています。このツールを使えば、誰でも自分のメールアドレスを入力するだけで、この巨大なデータベースに自分の情報が含まれているかどうかを確認できます。
あなたもそこにいる可能性は高いでしょう。データチェッカーには、810件の漏洩事例に及ぶ8,165,169,702件のアカウント情報が保存されています。過去10年間にメールアドレスとパスワードが漏洩したかどうかだけでなく、電話番号、生年月日、住所といった個人情報の詳細も確認できます。
続きを読む: デジタルライフのための本当に強力なパスワードを作成する方法
Collectionダンプに含まれる詳細は目新しいものではないかもしれませんが、それでも脅威となります。クレデンシャルスタッフィングによって、ハッカーは同じログイン情報を使用しているWeb上のアカウントに侵入することが可能になります。
今月初め、動画共有プラットフォーム「Dailymotion」は、ユーザーがクレデンシャル・スタッフィング攻撃の標的になっていることを確認した。同社は声明で、「この攻撃は、多数のパスワードの組み合わせを自動的に試したり、Dailymotionとは無関係のウェブサイトから以前に盗まれたパスワードを使用したりすることで、一部のDailymotionアカウントのパスワードを『推測』するものです」と述べた。Redditも、今月クレデンシャル・スタッフィング攻撃が増加したことを受け、ユーザーにパスワードの再設定を促している。両サイトとも、今回の攻撃がコレクション#1またはコレクション#2~5に直接関連しているとは明言していない。
いつも通り、パスワードに関するアドバイスが適用されます。パスワードマネージャーを使用して、すべてのアカウントで安全なパスワードを作成し、保存してください。複数のサービスでパスワードを使い回さないでください。Facebookのパスワードと銀行口座のパスワードは同じにしないでください。
また、あなたの詳細情報がコレクション #2-5 のどこかに保存されている可能性が高いため、2 要素認証が利用可能な場合は必ずそれを使用するようにしてください。
この記事はWIRED UKで最初に公開されました。
