今月初め、7億7,300万件のメールアドレスと2,100万件のパスワードを含む、史上最大規模とされる盗難インターネットアカウントの流出が確認されました。この流出したアカウントは「コレクション#1」と呼ばれていました。現在、コレクション#2~#5が流出しており、その数は驚異的です。盗まれたデータは845GBに上り、合計250億件のレコードと22億件の固有のユーザー名とパスワードが含まれています。
Wiredの報道によると、コレクション#2~5で漏洩したアカウント数は、コレクション#1で漏洩したアカウント数の2倍以上です。セキュリティ研究者は、コレクション#2~5で見つかった重複を考慮した上で、22億件の固有のユーザー名とパスワードを含む250億件の盗難レコード数と結論付けており、これはデータ侵害コレクションとしては過去最大規模となります。
「これは私たちがこれまでに見た中で最大の侵害コレクションです」と、IoT セキュリティ企業 Phosphorus.io の創設者でサイバー セキュリティ研究者のクリス ルーランド氏は語る。同氏は最近、トレント ファイルからコレクション #1 から #5 を取得しました。
残念なことに、この膨大なデータコレクションは闇市場で出回っており、Rouland 氏によれば、このコレクションはすでにトレントサイトで 1,000 回以上ダウンロードされているという。
彼がダウンロードしたトラッカーファイルは、データダンプを保有する130人以上によって「シード」されており、すでに1,000回以上ダウンロードされていたことがわかった。「これは前例のない量の情報と認証情報であり、いずれパブリックドメインに流出することになるだろう」とルーランド氏は言う。
注目すべきは、盗まれた情報の多くは、Yahoo、LinkedIn、Dropbox の過去の侵害に由来するものの、今回、大量の情報が流出して表面化したことだ。
膨大なコレクションは、未熟なハッカーにとって強力なツールとなり得ることを意味します。なぜなら、過去に漏洩したユーザー名とパスワードを、公開されているウェブサイトで試すだけで、パスワードが使い回されている可能性を狙うからです。これは「クレデンシャル・スタッフィング」と呼ばれる手法です。「インターネット全体にとって、これは依然として非常に大きな影響力を持っています」とルーランド氏は言います。
コレクション#1の一部として、自分のアカウントが侵害されているかどうかは「Have I Been Pwned」で確認できます。Wiredに よると、「Have I Been Pwned」はまだコレクション#2~5に対応していませんが、ハッソ・プラットナー研究所のツールはすでに更新されています。
可能な場合は常に 2FA を使用し、所有するアカウントごとに強力で一意のパスワードを使用し、パスワード マネージャーを使用してすべてを追跡するようにしてください。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
morejow.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
