流出した 7 億 1,100 万件の中にあなたのメールアドレスは含まれていませんか?

2017.09.11

Have I Been Pwned?(リンク先:英語) (HIBP) プロジェクトからアラートを受け取るのは嬉しい出来事ではありませんが、自分のメールアドレスが流出したことを知らないよりはマシです。



2013 年に大規模なデータ漏洩が Adobe で発生した後に Troy Hunt(リンク先:英語) 氏によって設立された HIBP は、流出や盗難などの被害に遭った電子メールアカウントのデータベースで、誰でも自分のメールアカウントがサイバー犯罪者の間で流通していないかを確認することができます。



膨大な数のメールアカウントがすでに流通しており、これに新たに 7 億 1,100 万件が追加されました。これらのメールアカウントは、Benkow(リンク先:英語)という名前の研究者が先日オランダのサーバー上のテキストファイルで保護されていない状態で発見したもので、「Onliner」スパムロボットを拡散するために使用されていました。



筆者が長年使用しているドメインに登録されている電子メールアドレスも含まれており、このサイトが流出したキャッシュ内で当該ドメインを発見するのは過去 4 年間で 3 度目となります。

このスパムリストに関して HIBP からアラートを受け取った場合、心配する必要はあるのでしょうか?

Hunt 氏は、今回追加されたキャッシュの大きさについて次のように述べています。


“流出したメールアカウントの規模を分かりやすく説明すると、ヨーロッパ中のすべての男性、女性、そして子供を合計した数に相当します。”



7 億 1,100 万件というアカウント数は HIBP サイトで最大ですが、一部のアカウントはこれまでのデータ流出に含まれています。たとえば筆者の場合、Adobe (1 億 5,200 万件) と 2012 年の Dropbox (6,800 万件) に含まれています。複数の異なるソースから集められたものであるため、累積数にはなっていません。

HIBP はまた、筆者の電子メールアドレスが今回の流出に含まれているとしています。ユーザーのアドレスを保護できない企業を信頼したのは筆者の失敗だったとはいえ、そもそも罰せられるべきはアドレスを流出させたサイトです。



それよりも心配なのは、流出したアドレスが何に使用されるかです。この新しいキャッシュの大部分は電子メールアドレスのようです。つまり、このキャッシュに自分のアドレスが含まれているユーザーは、スパム (Onliner の場合は Ursnif(リンク先:英語) バンキングマルウェア) 攻撃の標的になり得ます。

筆者の電子メールアドレスは過去のデータ漏洩に含まれており、以前よりも事態が悪化したわけではありません。同様に、Hunt 氏は自身が使用していた電子メールアドレスをキャッシュ内で 2 度確認しています。



より深刻なのは、2012 年に発生し 2016 年に明らかになった LinkedIn へのセキュリティ侵害で流出したソルト化されていない SHA-1 ハッシュから抽出されたと思われるパスワードなど、パスワードが流出したグループです。



その他のファイルには、SMTP サーバーやポートの構成など、数万件のメールサーバーの認証情報が含まれていました。Hunt 氏は次のように説明しています。



“スパマーは、何千件もの有効な SMTP アカウントを利用して、幅広いメールサーバーからメッセージを送信することが可能です。”



これとは別に、今回のキャッシュを発見した研究者 Benkow 氏は、合計 8,000 万件に上るさまざまな種類の認証情報が流通していると推定しています。

キャッシュデータが発見されたサイトは今も誰でもアクセスできる状態になっていますが、Hunt 氏と Benkow 氏は現在このサイトからキャッシュデータを削除しようとしています。皮肉なことに、このデータを収集していた人物は、データを独占することについては熱心ではなかったようです。



影響を受けると思われる方は、電子メールアドレスまたはアカウント名を手動で HIBP に入力して確認(リンク先:英語)できます。また、電子メールサーバーの認証情報が心配な方は、少なくともパスワードを変更する必要があります。



落ち込んだり悩んだりするのが嫌で知りたくないことであっても、実際に何が起きているのかを知った方がよい場合もあります。今回のキャッシュの場合、多くのアドレス、認証情報、および個人情報がかなり前から商品として流通しています。これを止めることも元に戻すこともできません。できるのは被害を最小限に抑えることだけです。



ユーザーの名前、住所、生年月日、社会保障番号が流出してしまった場合には、少なくともメールアドレスと認証情報は変更できます。今回のデータキャッシュの流出は確かに深刻な問題ですが、もっと悲惨な結果になっていた可能性があります。

引用元

おすすめの記事はこちら