
今年初め以降、サイバー研究者は160億件以上の漏洩認証情報を特定しました。研究者たちは、その大部分はこれまで報告されていなかったと主張していますが、批評家たちは、これらのデータが新しいものであることを示す証拠が不十分だと主張しています。
サイバーニュースの研究者によると、漏洩したと特定された30のデータセットのうち、過去に公開されていたのは1つだけだった。この1億8,400万件のレコードには、Apple、Google、Metaのユーザーログイン情報が含まれており、5月に報告された。
「特に懸念されるのは、これらのデータセットの構造と新しさです。これらは単に過去の侵害記録が再利用されているだけではありません」と、サイバーニュースの研究者は報告書の中で述べています。「これは、大規模かつ最新の、武器化可能なインテリジェンスなのです。」
なぜこのデータについて疑問を持つ人がいるのか
BleepingComputerによると、報告書は、この集計データに新たなデータやこれまで見たことのないデータが含まれているという具体的な証拠を提示しておらず、サンプルも提供していない。サイトの所有者であるローレンス・エイブラムス氏は、記録が盗まれたウェブサイトはいずれも最近侵害されていなかったと主張している。
「同様に漏洩したアーカイブは数千、いや数十万に上るだろうが、オンラインで共有されており、その結果、数十億件もの認証情報記録が無料で公開されている」と彼は記している。「これらの無料アーカイブの多くは、サイバーニュースが一時的に公開し、確認した大規模なデータベースにまとめられた可能性が高い」
2024年10月、ウェイバックマシンを運営する非営利団体インターネットアーカイブがハッキング被害に遭った際、ハッカーたちは3100万人分の個人情報が漏洩したと主張しました。しかし、専門家が調査したところ、漏洩したデータの54%は過去のインシデントで既に漏洩していたことが判明しました。
160億件の記録の中には、同一人物に関連する重複した記録や複数の記録が多数存在する可能性もある。8月に身元調査サービス「ナショナル・パブリック・データ」から27億件の記録が漏洩した際、そのうち1億3400万件だけが唯一無二の記録であることが明らかになったのは、事件からわずか数日後のことだった。
個人のデータセットは善人にも悪人にも収集される可能性がある
サイバーニュースが明らかにしたデータセットの中で最大のものには、ポルトガル語圏の個人に関連するとみられる35億件以上のレコードが含まれていました。一方、最小のものは約1600万件でした。ほとんどのレコードは、URL、ユーザー名、そしてパスワードという統一された構造に従っていました。これは、情報窃取型マルウェアが盗んだ認証情報を整理するために一般的に使用される形式です。
このようなデータセットは通常、サイバー犯罪者によって様々なデータ侵害を通じて収集されたり、情報窃盗マルウェアを使用して収集されたりした後、販売されたり、フィッシング、個人情報窃盗、不正システムアクセスに悪用されたりします。中には、サイバー犯罪コミュニティ内での信頼を得るために無料で公開されるものもあります。
しかし、セキュリティ研究者は、脅威のパターンを調査したり、サイバーセキュリティツールをテストしたり、システムの脆弱性に関する意識を高めたりするために、同様のデータセットを作成することができます。ユーザーはパスワードを再利用することが多いため、単一の認証情報セットで、ソーシャルメディアプラットフォーム、企業ネットワーク、銀行アプリなど、複数のサービスにアクセスできる場合があります。
漏洩した記録はTelegramやクラウドサービスから発信された可能性がある
サイバーニュースによると、データセットはElasticsearchやオブジェクトストレージインスタンスといったセキュリティ保護されていないクラウドベースのデータリポジトリを通じて、短時間のみ公開されたとのことです。記録を閲覧するには十分な時間でしたが、漏洩の責任者を特定するには不十分でした。
しかし、30のデータセットに付けられた名称から、データがどこから収集されたのかを推測することは可能でした。多くのデータセットは「ログイン」や「認証情報」といった一般的な名称で、具体的な手がかりを提供していませんでしたが、中にはメッセージングアプリTelegramやクラウドサービス、あるいはロシア、ポルトガル、あるいは企業の起源を示すような、より詳細な名称のものもありました。サイバーニュースによると、中にはデータの取得に使用された特定のマルウェアに言及しているものもありました。
侵害されたデータは、認証情報が漏洩していないか確認できる、広く利用されている侵害通知サービス「Have I Been Pwned」にはまだ追加されていない。同サービスの開発者は、この事件を調査中であると報じられている。
世界最大のデータ侵害の背景には保護されていないデータベースがある
近年、保護されていないデータベースは、依然として大規模データ侵害の原因となっています。昨年夏には、現在は閉鎖されているソーシャルネットワーキングプラットフォーム「RockYou」に関連する約100億件のパスワードがハッキングフォーラムで漏洩しました。RockYouの認証情報は、2009年にハッカーが3,200万件以上のユーザーパスワードを含む平文ファイルにアクセスして以来、出回っています。
先月、サイバーセキュリティ研究者が、1億8,400万件以上のレコードを含む、保護されていないElasticsearchデータベースを発見しました。このレコードには、Microsoft、Google、Appleのサービスへのログイン情報に加え、政府機関や企業のメールアドレスも含まれていました。ホスティングプロバイダーのWorld Host Groupは、データの所有者を特定することを拒否しましたが、すぐにアクセスを無効化しました。データベースが保護される前に、悪意のある攻撃者によってアクセスまたはダウンロードされたかどうかは不明です。
サイバーニュースの研究者、アラス・ナザロヴァス氏は、従来のデータベース形式で公開されたインフォスティーラーのデータセットの数が増えていることは、サイバー犯罪者が盗んだデータにアクセスするためにテレグラムのグループに依存しなくなってきていることを示唆していると指摘した。
このようなデータ侵害から身を守る方法を知るには、オンライン アカウントと個人情報の保護およびパスワード マネージャーに関する TechRepublic のガイドをお読みください。