7億7300万のアカウントとパスワード2122万件漏洩事実を考察する・・

2019年1月24日木曜日

others 情報セキュリティ 情報漏洩

1月17日に世界的に有名なセキュリティ専門家のトロイ・ハントの分析結果が世界中を駆け巡り大きな話題となりました。

この分析は、クラウド情報サービスMEGA上で売りに出されたアカウント+パスワード総数2,692,818,238(row data)・・これらが収められたCollection#1に関してでした。トータル87GBのデータ容量・・。

ダブリ等を外した漏洩対象のユニークなアカウント(e-mailアドレス)総数はなんと772,904,991。さらに漏洩対象のユニークなパスワード総数も、21,222,975という莫大なもの。世界中のwebサイトから搾取され、これらが、売りに出されたという顛末。

しかもCollection#1以外に複数のCollectionが存在する痕跡も見つかっています。

ネット社会となって、複数サービスのアカウント(e-mailアドレス)・パスワードを個人が持つ事が一般的となり、アカウント(e-mailアドレス)・パスワードの使いまわしも普通に行われています。e-mai addessのみの漏洩ならば、まだリスクは軽減されるものの、これだけのパスワードの漏洩については、かなりインパクトが大きかったように思います。

筆者もトロイ・ハントが提供しているWebサービスを使って手持ちのe-mailアドレスが漏洩対象になっているかどうかのチェックをしてみましたが・・


今回の漏洩対象ではなかったものの、一つのアカウントが、昔、Linkedin、Adobe、Twitterで発生した大規模漏洩事案の被害にあってました。漏洩内容は、上記2枚目のスクリーンショットに書かれていますが、e-mailアドレス、パスワード、その他みたいな。。

これを受けて各Webサービスに登録されたe-mailアドレス、パスワード漏洩の危険性が高い・・という事で、amazon、google等の金銭・物品の授受が発生するインパクトの大きなWebサービスに関しては、2段階認証に戻し、セキュリティ強化を図っています。

この事件が言及している事は、パスワードの使いまわしのリスクが危険水域を完全に超えているという事、全Webサービスのパスワードについては異なるものを設定せよっ・・という2点。

という事で一番最初に行う事は、ネットサービスで使用するアカウント・パスワードを整理して使わなくなっているアカウント・パスワードは該当webサービスから抹消する事です。

まずは使うものを特定して、それらだけを残すという作業が必要です。使わないものを抹消する事によって、リスクは下げられます。この意味するところは・・・使っていないサービスだとは言っても、仮にそのサービス提供サイトが漏洩に会えば、アカウントやパスワード流出の危険性が高く、使いまわしをしていれば、結果、使っているサービスさえも不正アクセスの危険性が高まるという事です。

次に行う事は、2段階認証を提供しているサービスに関して、これを使う事を前提にする事です。

金銭・物品授受等が絡むクリティカルなサービスに関しては、2段階認証サービスを提供する所も多くなってきており、まずは、これを使用する事でリスクが大幅に軽減します。2段階認証はめんどいという方もいらっしゃいますが、不正アクセスを行われた事を想定すれば、大した事ではありません。さらに2段階認証を行っていないwebサービスに関しては、自分の身を守るために利用しないという選択も◎です。

2段階認証が無いwebサービスに関しては、全て違うパスワードに付け直し、これらを管理しておく必要があります。管理に関してはパスワードマネージャー等の利用も考えられますが、これはアナログ方式でも構いません。ただし、自分以外の人の目には触れない形での管理が必須です。

パスワードに関してはできるだけパスワード間のルール付けをしない事が大切です。例えば違うパスワードは1づつ数字を増やしていく等がこのルール付けにあたります。また、キーボードの並びで打ちやすいパスワードや、1234567等の数字の並び、誕生日、電話番号等の個人情報も、当たり前ですが、パスワードとしては不適切・・という事になります。

他、ワンタイムパスワードの使用等も上げられますがこれはサービス提供側の提供事項であり、利用者が独自にできる事ではありませんので割愛します。

いずれにしてもCollection#1の存在が確認できた事は、Web等を使った相当数のサービス事業者がもしかすると感づいていない間に侵入され、アカウント情報を搾取されている可能性を示唆するものであり、他のCollectionも併せて考えると、Web等サービス事業者にとって、アカウント情報の秘密性の維持は極めて難しい状況にあるものと推察できます。

ちなみにCollection#1には日本のドメインも含まれていますが、数としては圧倒的に海外のものが多くなっています。反面、元々日本の網羅性が低いという考え方もできますので、これは油断ができません。

10年前ならば、まだインパクトは低かったかもしれませんが、各種情報端末(現在ではIoTも含まれます)を使用してネットサービスを使用する事が当たり前になった昨今、ネット一般利用者に強く関係するものであり、自分の身はどうやって守るかを常に考えて各ネットサービスの利用を行う事が強く求められる時代になったんだな・・と改めて考えさせられた事案でした。

最後にトロイ・ハントが提供しているWebサービスとして、e-mailアドレスが漏洩対象になっているかというチェックもできますが、使用しているパスワードが漏洩対象になっているかどうかのチェックも行えるようになっています。

打ち込んだパスワードがそのままサーバーに送られ漏洩検証データベースとチェックされる・・というような馬鹿なプロセスではなく、入力したパスワードをハッシュ化し、これを送付しチェックするメカニズムになっているため、安全の・・はずです。

ただ、心配な場合は、メールアドレスチェックのみでも構いません。どの程度の漏洩範囲かは、これでもわかりますので・・。

このサービスのアドレス等はスクリーンショットをご覧ください。