7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る

「Have I Been Pwned」では、今回の流出情報に含まれていたメールアドレス約7億7300万件と、パスワード約2122万件を、同サービスで検索できるようにした。

[鈴木聖子，ITmedia]

　さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned（HIBP）」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。

　HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。

トロイ・ハント氏が運営する、アカウント情報の流出を確認できる無料サービス「Have I Been Pwned」

　ハント氏によると、今回の情報はクラウドサービスのMEGAで発見され、人気ハッキングフォーラムに画像付きで情報が掲載されて話題になっていたという。ルートフォルダには「Collection #1」の名称が付いていた。

　このフォルダ内のデータは1万2000本以上のファイルに保存されており、データ容量は計87GB超。ファイルに記載されたメールアドレスとパスワードの組み合わせは11億6000万件を超えていた。

　ただし、その中には重複しているものや、無関係のデータや記号などが含まれていたものもあり、ハント氏がデータを整理した上で、計7億7290万4991件のメールアドレスをHIBPに掲載した。1回でHIBPに掲載した件数としては過去最多になるという。

流出した情報は、クラウドサービスの「MEGA」で発見された（出典：Troy Hunt氏のブログ）

　一方、パスワードの一部はハッシュが解除され、平文に戻されていた。HIBPでは、電子メールとは別に、流出したパスワードを検索できる「Pwned Passwords」のサービスも提供しており、ハント氏は今回の流出情報に含まれていたパスワードのうち2122万2975件を、このサービスで検索できるようにした。

　今回見つかった情報の中には、ハント氏自身が過去に使っていた電子メールとパスワードも含まれていたという。ただし、いずれも今は使っていないパスワードだった。

　こうした形で流出したメールアドレスとパスワードの組み合わせを、通販サイトやSNSなどネット上のあらゆるサービスで自動的に試し、通用するかどうかをチェックするツールも存在しているという。ハント氏はユーザーに対し、流出が確認されたパスワードは決して使用せず、パスワードの使い回しを避けるなどの自衛策を講じるよう促している。