10 Billion Passwords Leaked on Hacking Forum
2024/7/8 InfoSecurity — 100億近いユニークなパスワードがサイバー犯罪フォーラムに流出し、世界中のオンライン・ユーザーがアカウント漏洩の危険にさらされていることが、Cybernews の調査により判明した。7月4日に、Cybernews の研究者たちは、史上最大規模のパスワード・コンパイルと思われる 994万件の平文パスワードが、人気のハッキング・フォーラムに投稿されているのを発見した。
データの投稿者である ‘ObamaCare’ というユーザーは、2024年5月下旬にフォーラムに登録されていた。しかし、それ以前にも、’ObamaCare’ は侵害によりアクセスした機密情報を公開している。
一連のデータを含むファイルは “RockYou2024” と命名されており、侵害された新旧のパスワードが混在している。このファイルは、オンライン・データ流出から構築された、過去のパスワード・コンパイル ”RockYou2021” を拡張したものだと思われる。
Cybernews が以前に発見した RockYou2021 には、84億のパスワードが含まれていた。その後の 2021〜2024年にかけて、さらに 15億のパスワードが追加され、RockYou2024 の総量は 15%増加している。最新の RockYou のデータセットには、20年以上にわたって 4,000以上のデータベースから収集された情報が蓄積されていると、研究者たちは考えている。
2024年1月にも Cybernews は、過去の侵害からオンラインに流出した、260億のレコードで構成される 12TB のデータベースを発見している。
誰もがクレデンシャル・スタッフィング攻撃の危険にさらさる
Cybernews の研究者たちが警告するのは、一般に公開されたコンパイルの影響を受けるユーザーが、クレデンシャル・スタッフィングなどの、ブルートフォース攻撃の危険にさらされる可能性である。
彼らは、「ハッカー・フォーラムやマーケット・プレイスで流出した他のデータベース (電子メールアドレスなどのクレデンシャル) と、RockYou2024 が組み合わされることで、データ漏洩/金融詐欺/ID 窃盗などの連鎖が生じる可能性がある」と述べている。
2023年10月に DNA 検査会社 23andMe が遭遇したのは、約700万人のユーザーに影響を与えるクレデンシャル・スタッフィング・キャンペーンである。その後に同社は、一部のユーザーが過失でパスワードをリサイクルし、更新を怠ったことに原因があるという批判を展開した。しかし専門家たちは、その 23andMe の姿勢を批判し、同社は全てのユーザー・アカウントに多要素認証 (MFA:multi-factor authentication) を義務付けるべきだったと指摘した。
世界の人口は何人だったけ? と、ついつい数え直してしまうほどの、最大のパスワード・リークが発生しています。たちし、そのうちの 85億ほどは、すでに流出しているものなんので、新たに 15億が流出したと捉えるべきでしょう。文中にもあるように、それらを悪用するクレデンシャル・スタッフィングなどが生じる恐れがありますので、十分に ご注意ください。まずは、2FA/MFA の実施ですね。よろしければ、Credential Stuffing で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.