これまでで最も大規模なデータ流出の1つが発生し、87Gバイトを超える個人情報を含むデータがオンラインに流出した。
「Collection #1」という名称のこのデータダンプは、クラウドサービス「MEGA」でホストされ(データは既に削除されている)、7億7290万4991件の電子メールアドレスと2122万2975件のパスワードが含まれていた。この個人情報の宝庫は、「Have I Been Pwned」サービスの創設者でもあるセキュリティ研究者のTroy Hunt氏によって発見された。
Hunt氏はブログで、これらのログイン認証情報は2008年のパスワードと電子メールも含んでいるため、何年にもわたって蓄積されてきたようだと述べた。この情報は2000以上のソースから収集されたとしている。
ハッカーらがこの大量のログイン情報にアクセスした場合、ボットを使ったクレデンシャルスタッフィングと呼ばれる手法でログインしようとすることが考えられる。この手法は、同じログイン情報のセットを使って、自動的に複数のサービスにログインを試みるというものだ。
ボットセキュリティ企業Distil Networksの共同創設者であるRami Essaid氏は、「Collection #1のような大規模データ侵害はウェブサイトのログイン画面上でボットによるトラフィックを急増させている。ハッカーは盗まれたパスワードの膨大なリストを繰り返し使用するからだ」と述べた。
同社は、データ流出の発生後、ウェブサイトでのログイン試行が3倍に増加することを確認した。
提供:James Martin/CNET
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。