「12億件のメールアドレスやパスワードが流出」とセキュリティ企業が発表、懐疑的な声も

大規模な情報流出事案を有料サービスの宣伝に直結させているセキュリティ企業に対して疑問を投げ掛ける声もある。

[鈴木聖子，ITmedia]

　セキュリティ企業の米Hold Securityは8月5日、ロシアのサイバー犯罪集団が、各国のWebサイトから盗み出したメールやパスワードなど12億件あまりの情報を入手していたことが分かったと発表した。ただ米メディア各社は、同社がこの問題を有料サービスの宣伝に直結させていることに対して疑問を投げ掛けている。

　Hold Securityによると、犯罪集団は当初、盗まれたログイン情報のデータベースを闇市場で入手し、これを使ってメールプロバイダーやソーシャルメディアなどのWebサイトにスパムメールを送信、不正なWebサイトに誘導する手口を使っていた。

　しかし今年に入って手口を変え、闇市場を通じてボットネットネットワークのデータを利用するようになったという。このボットネットでは40万以上のWebサイトに潜在的なSQLインジェクションの脆弱性を見つけ出していたとされ、犯罪集団はそうしたWebサイトのデータベースから、12億件以上のメールアドレスとパスワードの組み合わせと、5億件以上のメールアドレスを入手していたとされる。

　標的は規模の大小を問わず、世界各国のあらゆるWebサイトや企業から情報が盗まれていたとHold Securityは報告し、「過去最大規模の情報流出」と位置付けている。同社は2013年10月にAdobe Systemsから情報が流出していたことを発見するなど、これまでにも大規模な情報流出事案を発見してきたという。

　ただ、Hold Securityは被害に遭った企業やWebサイトの具体名は公表しておらず、今回の情報流出事案についての解説では、企業向けのセキュリティ対策として同社の新しい有料サービス「Breach Notification Service」を紹介している。同サービスは年間120ドルで、顧客のサーバが攻撃されたり不正侵入されたりした場合に通知するという。

　米誌Forbesはこれについて、「セキュリティ企業であれば、自社の製品やサービスをアピールするために、サイバーセキュリティの現状を恐ろしげに描写することに関心があるのは間違いない。だがここでは、パニックとセキュリティ企業の利益があからさまに直結している」と指摘。Hold Securityやこのニュースを最初に伝えたNew York Timesの記事を批判している。