英国家犯罪対策庁(NCA)と全英サイバー犯罪対策機関(NCCU)は、捜査活動中に2億2500万件の盗まれた電子メールとパスワードの組み合わせを発見し、このデータをHaveIBeenPwned(HIBP)に提供した。HIBPは、過去に盗難や情報漏えいで流出した認証情報を蓄積し、無料で調べられるようにしているサービスだ。
今後、これらの2億2500万件のパスワードは、HIPBが提供しているパスワードリスト「Pwned Passwords」でこれまでに蓄積されていた6億1300万件と併せて確認可能になる。Pwned Passwordsは、ウェブサイトの運営者にパスワードのハッシュ値のリストを提供するもので、これを利用すれば、ユーザーがウェブサイトで新しいアカウントを作成する際に、漏えい済みのパスワードが使われていないかを確認できる。個人ユーザーも、HIPBのPwned Passwordページで、過去の情報漏えい事件で自分のパスワードが流出していないかを確認することができる。
NCAとNCCUは、セキュリティ侵害を受けたあるクラウドストレージに置かれていたデータの中に、盗まれた認証情報を発見した。
NCAは、HIPBが発表した声明の中で、「NCCUのMitigation@Scaleチームは、最近実施したNCAの捜査活動中に、セキュリティ侵害を受けたクラウドストレージ施設で、漏えいしたものである可能性がある大量の認証情報(電子メールとその電子メールと結びついたパスワードの組)を発見した」と述べている。
「分析の結果、これらの認証情報は、既知のものと未知のものの両方を含む、漏えいしたデータセットを集積したものであることが明らかになった。このデータが未知のサイバー犯罪者によって英国企業のクラウドストレージ施設に置かれていたという事実は、これらの認証情報は今やパブリックドメインであり、詐欺行為やサイバー攻撃を実行しようとする他の第三者も入手可能であることを意味している」
NCAは、BBCの取材に対して、2020年に実施した英国警察との共同捜査で、英国のある組織のクラウドストレージ施設がセキュリティ侵害を受け、サイバー犯罪者によってその組織のサーバーに4万件以上のファイルがアップロードされていたことが明らかになったと述べている。漏えいした電子メールとパスワードのリストは、それらのファイルの中に見つかった。
NCAは、発見したパスワードのリストをHIBPの運営者であるTroy Hunt氏に提供した。Hunt氏は、これらのパスワードは、従来のPwned Passwordsのデータセットには見当たらない、新しいものだというNCCUの調査結果が正しいことを確認したという。
NCAは、「NCCUのMitigation@Scaleチームは、漏えいしたデータをHIBPのパスワードリポジトリと比較し、これまでは見られなかったパスワードを特定した。これらのパスワードは現在パブリックドメインになっている」と述べている。
Hunt氏は、NCAがパスワードをHIPBに提供したのは、同氏が運営するサービスのためではなく社会全体のためであり、このデータを使って、誰でもクレデンシャルスタッフィング攻撃を緩和することができると強調している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
