どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 42
ストーリー by headless
確認 部門より
確認 部門より
電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事、
KrebsOnSecurityの記事、
Ars Technicaの記事、
Mashableの記事)。
Have I Been Pwned?のTroy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。
Have I Been Pwned?のTroy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。
ルートフォルダーの名前から「Collection #1」と呼ばれるこのデータは12,000件以上のファイルを含み、サイズは87GB以上におよぶ。しかし、KrebsOnSecurityによれば、Collection #1はダークウェブで取引されているデータの一部分なのだという。KrebsOnSecurityはCollection #1を含むデータを販売する人物にTelegramで連絡を取り、データは合計で4TB以上との回答を得ている。Collection #1は少なくとも2~3年前のデータだが、4TBの中には1年以内のデータも含まれるとのこと。
一方、Hold SecurityのAlex Holden氏がKrebsOnSecurityに伝えたところによると、Collection #1は数年前にダークウェブのさまざまなフォーラムで流通していたそうだ。複数の情報流出をまとめた古いデータが中心であり、一般ユーザーが直接危険にさらされるようなものではないという。Hold SecurityではCollection #1に含まれるデータの99%を別のソースから既に得ていたとのことだ。
アカウント人質メール (スコア:4, 興味深い)
最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。
昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。
ほえほえ
Re: (スコア:0)
あれに騙される人って何%居るんだろう?
Re: (スコア:0)
興味持ってウオレット確認してみたら、大抵凍結されているんだよな。
仮想通貨使っている人なら、その程度のリテラシはありそうだ。
あんまり効率良さそうにも思えないけど、無くならないってのは、成功例も有るのかな?
Re: (スコア:0)
少なくていいんだよ
彼らは多数の人を騙したいんじゃなくてそんなアホみたいなことにも騙される人を探してるんだ
そいつはまさに詐欺集団の鴨なんだよ
むしろ、誰もがこんなん騙されるやつって方がいいんだよ
半端に賢さ残してるやつを釣ってそいつを騙そうとした結果通報されるという事故を防げるから
Re: (スコア:0)
まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!
迷惑な話だ
Re: (スコア:0)
パスワードの定期変更は流出する前提に立てば攻撃者に有利になるだけでは?
素人考えでは、どちらかというとアカウントの定期変更の方がよい気がします。
Re: (スコア:0)
パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけ
パスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので
定期変更の意味はなし
定期変更の有用性はないですよ
Re: (スコア:0)
最近のgmailとかだと○○からアクセスがあったけどあなたのですか?みたいに教えてくれるけれど、
ちょっと前だとメールの中身をずっと見られていた人とかもいるしな。
自分は定期的にパスワードを変えてるよ。
Re: (スコア:0)
あれ、メーラーが同時に複数のサーバの接続を並行して
行うタイプで、gmailの複数のアカウントに同時接続すると
googleが「不正な接続があったのでロックした」って
よく言ってきてうっとおしい。
Re: (スコア:0)
それだったら2段階認証のほうが良いのでは?
「他のすべての Web セッションからログアウト」という機能もありますし。
Re: (スコア:0)
「おまえのアカウントとパスワード知ってるぞ」のパスワードが昔のパスワードだったら、脅しとしてかなり弱いと思わない?
Re: (スコア:0)
だから、その人質メールは無視しても構わないだろうけどさ、
その新しいパスワードで何を守ってるの? 精神衛生?
Re: (スコア:0)
ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。
作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。
定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、
それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。
逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。
定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。
彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。
Re: (スコア:0)
乗っ取られた時点でパスワードや住所もろもろ変えられたら継続的に乗っ取られる
まぁ定期変更でもなんでも、そこらへんは併用できるんで
十分な強度のあるパスワードを設定し、使い回さないって前提があれば
定期的に変更するのもいいんじゃないかな
Re: (スコア:0)
ワンタイムパスワードでも使ってろとしか。
Re: (スコア:0)
パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。
作業コストが減りはすれど0になることは絶対にありません。
得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。
定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。
そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。
Re: (スコア:0)
んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?
Re: (スコア:0)
reCAPTCHAはこういう場でいう多要素認証とはべつもん
ボット対策のためのものだし
Re: (スコア:0)
定期変更を強制するのはよいとは言えないのはその通りだと思います。
が、そのためだけに全社員に携帯電話を配れないので多要素認証に切り替えられない。
私物の電話は業務では使わないというポリシーもあるし、そもそも私用の電話では多要素認証の意味は薄そう。
となると、パスワードの定期変更は無駄とは言い切りにくい、と考えてます。
Re: (スコア:0)
その用途は最も定期変更がアウトな例
管理側で生成したパスワード渡して変更させないようにしたほうがまし
覚えられないっていうならYubikeyなどのFIDO導入して配ればいい
1個あたり$10で買え、まとめ買いならさらに安くなる
Re: (スコア:0)
>管理側で生成したパスワード渡して変更させないようにしたほうがまし
本人のみが知っているべきパスワードを管理側で作って変更不可というのはあり得ないです。
不正利用(アカウント共用、なりすまし等)されているかどうかが判らないのでダメです。
(サインインログなどからあり得ない行動を検知して不正利用を見つけるというのも100%ではないので)
Yubikeyよいけど、1個10$でも人数が多くて結構な金額になります…ホントはこう言うヤツ使うべきだとはおもいますがね。
Re: (スコア:0)
作業コストが減りはすれど0になることは絶対にありません。
なんで?自動化できるユースケースだって普通にあるでしょ。
どうして絶対なんて思うの?
流出したデータが増える一方だと (スコア:0)
古くて既に死んでいるアカウントのデータも増えていって、攻撃試行回数に対する成功率が下がりそうだけど
闇の住人はちゃんと精査して攻撃に使っているのかな?
Re:流出したデータが増える一方だと (スコア:3)
武器(アカウントのデータ)だけ売っている。
Re: (スコア:0)
試行回数一回あたりのコストが安いので問題なーい
何割カバーなのか (スコア:0)
過去に利用ショッピングサイトから複数回流出した1997年頃から使い続けているメールアドレスがあるが、この手の照合サイトで該当したことがない。
Re: (スコア:0)
そもそも Have I Been Pwned? [haveibeenpwned.com]はなんで流出アカウントを知ってるんだよって話だよな。
Re:何割カバーなのか (スコア:2, 興味深い)
流出した情報を集めてっからじゃねーの?
中の人がブログにデータ収集の話も書いてるから、読んでみりゃいいと思うよ。
コメントにもマメに返事してるみたいだから、疑問点も答えてもらえるっしょ。
https://www.troyhunt.com/heres-how-i-verify-data-breaches/ [troyhunt.com]
https://www.troyhunt.com/how-your-data-is-collected-and/ [troyhunt.com]
Re: (スコア:0)
> なんで流出アカウントを知ってるんだよって話だよな。
haveibeenpwned.com みたいなサイトを作って
心配性の人にメールアドレスやパスワードを入力させるだけでも
簡単に情報を収集できますね
心配性の人にはランダムに安全ですとか流出してました
と回答すれば「じゃ別のアカウントも調べよう…」ってことで
繰り返し利用してもらえそうです
この手の照合サイトで
自分のアカウントを入力する人は本当に愚かだと思います
Re: (スコア:0)
そのサイトに自分のメールアドレスを入力するような間抜けから集めてるんじゃね
およそ半数が既知のもの (スコア:0)
およそ半数が「123456」みたいなやつってことだよね。それはそれで…
古いもの (スコア:0)
結局パスワードを定期的に変える必要があるじゃない
Re: (スコア:0)
NSAが困るから総務省が通達だしたのかも
Re: (スコア:0)
定期的には不要だと思うけど、自分が登録したサービスが漏らしたかどうかは把握しろよと。
パスワード変えるならそれからでいいし。
1PasswordはHIBPと連携してるから、漏れてるパスワード教えてくれたりする。
Re: (スコア:0)
大手はともかくとしても、パスワードその他を漏洩した業者が全部正直に公表しているとは思えないけどなぁ・・。
そもそも、お漏らししていることに気づいていない業者もいるだろうし。
やっぱり、漏れたら困るものはある程度定期的にパスワードは変えるか、多要素認証がいるなぁ、と思う次第。
Re: (スコア:0)
Have I Been Pwned?に
流出したメールアドレスに含まれていたら
メールしてくれるnotify meという無料サービスがある
今回の流出もそれでカバーできる
https://haveibeenpwned.com/ [haveibeenpwned.com]
Re: (スコア:0)
それ1passwordのアフィ広告じゃん
同じスパムが来るやつ (スコア:0)
毎日のように同じスパムが来てる。まあ迷惑メールフォルダに直行なので実害は皆無に近い(2~3週間に一度ざっと見てクリアするだけ)
具体的には所謂B-CASカードの模造品の模様。サイトまで見てないから確証はないけど。
彼らは何を思って、同じメアドに代わり映えのしないスパムを年単位で送り続けるのだろうか。
Re: (スコア:0)
そのメールアドレスが生きているかの確認にはなるんじゃない
送るコストは限りなく0に近いのだし
Re: (スコア:0)
SMTPレベルで 5.1.1 User unknown 返してもしつこく同じの(確認はしていないがパターンが同じ)が来続けるので生きているかの確認なんかしていないと思う。
Re: (スコア:0)
最近国内の安いホスティングサービスから送られてくる(ドメイン名は別に取得してるらしい)ので
IPでのフィルタすり抜けてきますが、
中身が「クリスマスにお勧め」とか言う文面で今届くのはさすがに雑すぎると思った。