メルアドとパスワードの組み合わせ約27億行近く流出、古いものが大半
2019年1月20日 18:54
電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事、KrebsOnSecurityの記事、Ars Technicaの記事、Mashableの記事)。 Have I Been Pwned?のToy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。 ルートフォルダーの名前から「Collection #1」と呼ばれるこのデータは12,000件以上のファイルを含み、サイズは87GB以上におよぶ。しかし、KrebsOnSecurityによれば、Collection #1はダークウェブで取引されているデータの一部分なのだという。KrebsOnSecurityはCollection #1を含むデータを販売する人物にTelegramで連絡を取り、データは合計で4TB以上との回答を得ている。Collection #1は少なくとも2~3年前のデータだが、4TBの中には1年以内のデータも含まれるとのこと。 一方、Hold SecurityのAlex Holden氏がKrebsOnSecurityに伝えたところによると、Collection #1は数年前にダークウェブのさまざまなフォーラムで流通していたそうだ。複数の情報流出をまとめた古いデータが中心であり、一般ユーザーが直接危険にさらされるようなものではないという。Hold SecurityではCollection #1に含まれるデータの99%を別のソースから既に得ていたとのことだ。