7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る
「Have I Been Pwned」では、今回の流出情報に含まれていたメールアドレス約7億7300万件と、パスワード約2122万件を、同サービスで検索できるようにした。
さまざまなWebサイトやサービスから流出した電子メールアドレスとパスワードの組み合わせ情報が、大量にハッキングフォーラムに掲載されているのが見つかった。アカウント情報の流出を確認できる無料サービス「Have I Been Pwned(HIBP)」を運営するセキュリティ研究者のトロイ・ハント氏が1月17日に明らかにした。
HIBPは、自分のメールアドレスやパスワードが流出被害に遭っていないかどうかをユーザーが確認できるサービス。ハント氏は、今回発見された流出情報のうち、メールアドレス約7億7300万件と、パスワード約2122万件を同サービスで検索できるようにした。
ハント氏によると、今回の情報はクラウドサービスのMEGAで発見され、人気ハッキングフォーラムに画像付きで情報が掲載されて話題になっていたという。ルートフォルダには「Collection #1」の名称が付いていた。
このフォルダ内のデータは1万2000本以上のファイルに保存されており、データ容量は計87GB超。ファイルに記載されたメールアドレスとパスワードの組み合わせは11億6000万件を超えていた。
ただし、その中には重複しているものや、無関係のデータや記号などが含まれていたものもあり、ハント氏がデータを整理した上で、計7億7290万4991件のメールアドレスをHIBPに掲載した。1回でHIBPに掲載した件数としては過去最多になるという。
一方、パスワードの一部はハッシュが解除され、平文に戻されていた。HIBPでは、電子メールとは別に、流出したパスワードを検索できる「Pwned Passwords」のサービスも提供しており、ハント氏は今回の流出情報に含まれていたパスワードのうち2122万2975件を、このサービスで検索できるようにした。
今回見つかった情報の中には、ハント氏自身が過去に使っていた電子メールとパスワードも含まれていたという。ただし、いずれも今は使っていないパスワードだった。
こうした形で流出したメールアドレスとパスワードの組み合わせを、通販サイトやSNSなどネット上のあらゆるサービスで自動的に試し、通用するかどうかをチェックするツールも存在しているという。ハント氏はユーザーに対し、流出が確認されたパスワードは決して使用せず、パスワードの使い回しを避けるなどの自衛策を講じるよう促している。
関連記事
- メアドを入力すると、流出被害に遭っているかが分かる Mozillaが無料のチェックサービス
専用サイトでユーザーが自分の電子メールアドレスを入力すると、その情報が流出被害に遭っていないかどうかをチェックできる。 - 漏えいパスワードのリストを見て分かった“強いパスワード”の作り方
「l」を「1」にする、頭を大文字にする――といった“昔ながらの強いパスワード作りの常識”が通用しなくなった今、私たちはどうやって強いパスワードを作ればいいのでしょうか。 - 自分のアドレスは大丈夫? Firefox、流出被害をチェックできる新ツール提供
自分のメールアドレスやパスワードが流出していないかどうかチェックできるWebサイト「Have I been pwned?」とMozillaが提携し、新ツール「Firefox Monitor」のトライアルを開始する。 - LinkedInからの流出情報、自分の被害の有無を確認可能に
自分のアカウントが被害に遭っていないかどうかをユーザーが確認できるWebサイト「Have I Been Pwned」(HIBP)に、LinkedInから流出したアカウント情報が登録された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.