ニュース
» 2019年01月18日 10時20分 公開

7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る

「Have I Been Pwned」では、今回の流出情報に含まれていたメールアドレス約7億7300万件と、パスワード約2122万件を、同サービスで検索できるようにした。

[鈴木聖子,ITmedia]

 さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned(HIBP)」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。

 HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。

photo トロイ・ハント氏が運営する、アカウント情報の流出を確認できる無料サービス「Have I Been Pwned」

 ハント氏によると、今回の情報はクラウドサービスのMEGAで発見され、人気ハッキングフォーラムに画像付きで情報が掲載されて話題になっていたという。ルートフォルダには「Collection #1」の名称が付いていた。

 このフォルダ内のデータは1万2000本以上のファイルに保存されており、データ容量は計87GB超。ファイルに記載されたメールアドレスとパスワードの組み合わせは11億6000万件を超えていた。

 ただし、その中には重複しているものや、無関係のデータや記号などが含まれていたものもあり、ハント氏がデータを整理した上で、計7億7290万4991件のメールアドレスをHIBPに掲載した。1回でHIBPに掲載した件数としては過去最多になるという。

photo 流出した情報は、クラウドサービスの「MEGA」で発見された(出典:Troy Hunt氏のブログ)

 一方、パスワードの一部はハッシュが解除され、平文に戻されていた。HIBPでは、電子メールとは別に、流出したパスワードを検索できる「Pwned Passwords」のサービスも提供しており、ハント氏は今回の流出情報に含まれていたパスワードのうち2122万2975件を、このサービスで検索できるようにした。

 今回見つかった情報の中には、ハント氏自身が過去に使っていた電子メールとパスワードも含まれていたという。ただし、いずれも今は使っていないパスワードだった。

 こうした形で流出したメールアドレスとパスワードの組み合わせを、通販サイトやSNSなどネット上のあらゆるサービスで自動的に試し、通用するかどうかをチェックするツールも存在しているという。ハント氏はユーザーに対し、流出が確認されたパスワードは決して使用せず、パスワードの使い回しを避けるなどの自衛策を講じるよう促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -