パスワードを忘れた? アカウント作成
13818689 story
情報漏洩

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 42

ストーリー by headless
確認 部門より
電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事KrebsOnSecurityの記事Ars Technicaの記事Mashableの記事)。

Have I Been Pwned?のTroy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。

ルートフォルダーの名前から「Collection #1」と呼ばれるこのデータは12,000件以上のファイルを含み、サイズは87GB以上におよぶ。しかし、KrebsOnSecurityによれば、Collection #1はダークウェブで取引されているデータの一部分なのだという。KrebsOnSecurityはCollection #1を含むデータを販売する人物にTelegramで連絡を取り、データは合計で4TB以上との回答を得ている。Collection #1は少なくとも2~3年前のデータだが、4TBの中には1年以内のデータも含まれるとのこと。

一方、Hold SecurityのAlex Holden氏がKrebsOnSecurityに伝えたところによると、Collection #1は数年前にダークウェブのさまざまなフォーラムで流通していたそうだ。複数の情報流出をまとめた古いデータが中心であり、一般ユーザーが直接危険にさらされるようなものではないという。Hold SecurityではCollection #1に含まれるデータの99%を別のソースから既に得ていたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hetareDAIO (17407) on 2019年01月20日 10時04分 (#3551062) 日記

    最近散見される、Subject にアカウントとパスワードを書いた、「おまえのアカウントとパスワード知ってるぞ、荒らされたくなければビットコインよこせ」なメールって、このデータを元にしてるのかな。

    昔流行った無料ホームページで使った情報で来るから、多分そういうところから流れてくるものをデータベースにしてるんだろうなぁ。古いデータなので放置していますが。

    --
    ほえほえ
    • by Anonymous Coward

      あれに騙される人って何%居るんだろう?

      • by Anonymous Coward

        興味持ってウオレット確認してみたら、大抵凍結されているんだよな。
        仮想通貨使っている人なら、その程度のリテラシはありそうだ。
        あんまり効率良さそうにも思えないけど、無くならないってのは、成功例も有るのかな?

      • by Anonymous Coward

        少なくていいんだよ
        彼らは多数の人を騙したいんじゃなくてそんなアホみたいなことにも騙される人を探してるんだ
        そいつはまさに詐欺集団の鴨なんだよ
        むしろ、誰もがこんなん騙されるやつって方がいいんだよ
        半端に賢さ残してるやつを釣ってそいつを騙そうとした結果通報されるという事故を防げるから

    • by Anonymous Coward

      まさか、こんなところで、パスワードの定期変更の有用性が証明されるとは!
      迷惑な話だ

      • by Anonymous Coward

        パスワードの定期変更は流出する前提に立てば攻撃者に有利になるだけでは?
        素人考えでは、どちらかというとアカウントの定期変更の方がよい気がします。

      • by Anonymous Coward

        パスワードの使いまわししてなければ、そもそも流出してもそのアカウントだけ
        パスワードの定期変更をしていても、そのサービスがハッキングされた段階で情報取られるので
        定期変更の意味はなし

        定期変更の有用性はないですよ

        • by Anonymous Coward

          最近のgmailとかだと○○からアクセスがあったけどあなたのですか?みたいに教えてくれるけれど、
          ちょっと前だとメールの中身をずっと見られていた人とかもいるしな。
          自分は定期的にパスワードを変えてるよ。

          • by Anonymous Coward

            あれ、メーラーが同時に複数のサーバの接続を並行して
            行うタイプで、gmailの複数のアカウントに同時接続すると
            googleが「不正な接続があったのでロックした」って
            よく言ってきてうっとおしい。

          • by Anonymous Coward

            それだったら2段階認証のほうが良いのでは?
            「他のすべての Web セッションからログアウト」という機能もありますし。

        • by Anonymous Coward

          「おまえのアカウントとパスワード知ってるぞ」のパスワードが昔のパスワードだったら、脅しとしてかなり弱いと思わない?

          • by Anonymous Coward

            だから、その人質メールは無視しても構わないだろうけどさ、
            その新しいパスワードで何を守ってるの? 精神衛生?

        • by Anonymous Coward

          ないわけではない。定期変更していればそのサービスの継続的な乗っ取りを回避できる。
          作業コストが高いゆえ不利益の多い方策ではあるが、それ自体に効果が無い訳では無い。
          定期変更を強要すると強度の低いパスワードが使われやすく結果リスクが上がるとは言われるが、
          それはそもそも運用の甘さに問題があり、もっと作業コストをかけて強度の高く乱雑なパスワードを使用させなければ何の意味もない。
          逆に作業コストがゼロで済むのなら、定期変更策は十分検討に値する安全策になる。

          定期変更が無駄と念仏のように言い切る主張があるが、その発言の論理性に疑問を抱かずにいられない。
          彼らには定期的に(それは1秒でも1年でもあり得るが)鍵を変えるシステムを全て否定しそうな勢いを感じる。

          • by Anonymous Coward

            乗っ取られた時点でパスワードや住所もろもろ変えられたら継続的に乗っ取られる

            まぁ定期変更でもなんでも、そこらへんは併用できるんで
            十分な強度のあるパスワードを設定し、使い回さないって前提があれば
            定期的に変更するのもいいんじゃないかな

          • by Anonymous Coward

            ワンタイムパスワードでも使ってろとしか。

          • by Anonymous Coward

            パスワードの定期変更は無駄といわれるのは、有効にするために医薬品の注意書き並みに細かい附則事項を守りきる必要があるからです。
            作業コストが減りはすれど0になることは絶対にありません。
            得られるメリットに対するコストが高すぎる、要するに費用対効果が低すぎるため、定期変更は無駄と言い切られているのです。
            定期変更よりも多要素認証を使ったほうがはるかに低コストで高セキュリティを実現できます。
            そこまで定期変更にこだわる理由は何なのでしょう。武田先生なのでしょうか。

            • by Anonymous Coward

              んで、Recaptchaとかいう人をイライラさせるだけのものに変わる認証ツールは出来ましたか?

              • by Anonymous Coward

                reCAPTCHAはこういう場でいう多要素認証とはべつもん
                ボット対策のためのものだし

            • by Anonymous Coward

              定期変更を強制するのはよいとは言えないのはその通りだと思います。
              が、そのためだけに全社員に携帯電話を配れないので多要素認証に切り替えられない。
              私物の電話は業務では使わないというポリシーもあるし、そもそも私用の電話では多要素認証の意味は薄そう。
              となると、パスワードの定期変更は無駄とは言い切りにくい、と考えてます。

              • by Anonymous Coward

                その用途は最も定期変更がアウトな例

                管理側で生成したパスワード渡して変更させないようにしたほうがまし

                覚えられないっていうならYubikeyなどのFIDO導入して配ればいい
                1個あたり$10で買え、まとめ買いならさらに安くなる

              • by Anonymous Coward

                >管理側で生成したパスワード渡して変更させないようにしたほうがまし
                本人のみが知っているべきパスワードを管理側で作って変更不可というのはあり得ないです。
                不正利用(アカウント共用、なりすまし等)されているかどうかが判らないのでダメです。
                (サインインログなどからあり得ない行動を検知して不正利用を見つけるというのも100%ではないので)

                Yubikeyよいけど、1個10$でも人数が多くて結構な金額になります…ホントはこう言うヤツ使うべきだとはおもいますがね。

            • by Anonymous Coward

              作業コストが減りはすれど0になることは絶対にありません。

              なんで?自動化できるユースケースだって普通にあるでしょ。
              どうして絶対なんて思うの?

  • by Anonymous Coward on 2019年01月20日 10時14分 (#3551065)

    古くて既に死んでいるアカウントのデータも増えていって、攻撃試行回数に対する成功率が下がりそうだけど
    闇の住人はちゃんと精査して攻撃に使っているのかな?

  • by Anonymous Coward on 2019年01月20日 11時06分 (#3551073)

    過去に利用ショッピングサイトから複数回流出した1997年頃から使い続けているメールアドレスがあるが、この手の照合サイトで該当したことがない。

    • by Anonymous Coward

      そもそも Have I Been Pwned? [haveibeenpwned.com]はなんで流出アカウントを知ってるんだよって話だよな。

      • by Anonymous Coward on 2019年01月20日 11時45分 (#3551084)

        流出した情報を集めてっからじゃねーの?
        中の人がブログにデータ収集の話も書いてるから、読んでみりゃいいと思うよ。
        コメントにもマメに返事してるみたいだから、疑問点も答えてもらえるっしょ。

        https://www.troyhunt.com/heres-how-i-verify-data-breaches/ [troyhunt.com]
        https://www.troyhunt.com/how-your-data-is-collected-and/ [troyhunt.com]

        親コメント
      • by Anonymous Coward

        > なんで流出アカウントを知ってるんだよって話だよな。

        haveibeenpwned.com みたいなサイトを作って
        心配性の人にメールアドレスやパスワードを入力させるだけでも
        簡単に情報を収集できますね

        心配性の人にはランダムに安全ですとか流出してました
        と回答すれば「じゃ別のアカウントも調べよう…」ってことで
        繰り返し利用してもらえそうです

        この手の照合サイトで
        自分のアカウントを入力する人は本当に愚かだと思います

      • by Anonymous Coward

        そのサイトに自分のメールアドレスを入力するような間抜けから集めてるんじゃね

  • by Anonymous Coward on 2019年01月20日 11時15分 (#3551075)

    およそ半数が「123456」みたいなやつってことだよね。それはそれで…

  • by Anonymous Coward on 2019年01月20日 14時34分 (#3551120)

    結局パスワードを定期的に変える必要があるじゃない

    • by Anonymous Coward

      NSAが困るから総務省が通達だしたのかも

    • by Anonymous Coward

      定期的には不要だと思うけど、自分が登録したサービスが漏らしたかどうかは把握しろよと。
      パスワード変えるならそれからでいいし。
      1PasswordはHIBPと連携してるから、漏れてるパスワード教えてくれたりする。

      • by Anonymous Coward

        大手はともかくとしても、パスワードその他を漏洩した業者が全部正直に公表しているとは思えないけどなぁ・・。
        そもそも、お漏らししていることに気づいていない業者もいるだろうし。

        やっぱり、漏れたら困るものはある程度定期的にパスワードは変えるか、多要素認証がいるなぁ、と思う次第。

        • by Anonymous Coward

          Have I Been Pwned?に
          流出したメールアドレスに含まれていたら
          メールしてくれるnotify meという無料サービスがある
          今回の流出もそれでカバーできる
          https://haveibeenpwned.com/ [haveibeenpwned.com]

          • by Anonymous Coward

            それ1passwordのアフィ広告じゃん

  • by Anonymous Coward on 2019年01月21日 1時49分 (#3551298)

    毎日のように同じスパムが来てる。まあ迷惑メールフォルダに直行なので実害は皆無に近い(2~3週間に一度ざっと見てクリアするだけ)
    具体的には所謂B-CASカードの模造品の模様。サイトまで見てないから確証はないけど。

    彼らは何を思って、同じメアドに代わり映えのしないスパムを年単位で送り続けるのだろうか。

    • by Anonymous Coward

      そのメールアドレスが生きているかの確認にはなるんじゃない
      送るコストは限りなく0に近いのだし

      • by Anonymous Coward

        SMTPレベルで 5.1.1 User unknown 返してもしつこく同じの(確認はしていないがパターンが同じ)が来続けるので生きているかの確認なんかしていないと思う。

    • by Anonymous Coward

      最近国内の安いホスティングサービスから送られてくる(ドメイン名は別に取得してるらしい)ので
      IPでのフィルタすり抜けてきますが、
      中身が「クリスマスにお勧め」とか言う文面で今届くのはさすがに雑すぎると思った。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...