これまでで最も大規模なデータ流出の1つが発生し、87Gバイトを超える個人情報を含むデータがオンラインに流出した。
「Collection #1」という名称のこのデータダンプは、クラウドサービス「MEGA」でホストされ(データは既に削除されている)、7億7290万4991件の電子メールアドレスと2122万2975件のパスワードが含まれていた。この個人情報の宝庫は、「Have I Been Pwned」サービスの創設者でもあるセキュリティ研究者のTroy Hunt氏によって発見された。
Hunt氏はブログで、これらのログイン認証情報は2008年のパスワードと電子メールも含んでいるため、何年にもわたって蓄積されてきたようだと述べた。この情報は2000以上のソースから収集されたとしている。
ハッカーらがこの大量のログイン情報にアクセスした場合、ボットを使ったクレデンシャルスタッフィングと呼ばれる手法でログインしようとすることが考えられる。この手法は、同じログイン情報のセットを使って、自動的に複数のサービスにログインを試みるというものだ。
ボットセキュリティ企業Distil Networksの共同創設者であるRami Essaid氏は、「Collection #1のような大規模データ侵害はウェブサイトのログイン画面上でボットによるトラフィックを急増させている。ハッカーは盗まれたパスワードの膨大なリストを繰り返し使用するからだ」と述べた。
同社は、データ流出の発生後、ウェブサイトでのログイン試行が3倍に増加することを確認した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」