コンテンツを開く

テーマのトレンド

あなたはCollection #1(最新の大規模Eメール/パスワード流出)の被害者ですか?

F-Secure Japan

27.02.19 3 min. read

今年の1月、膨大なEメールとパスワードの組み合わせ情報が漏洩したというニュースが流れました。セキュリティ研究者のTroy Hunt(トロイ・ハント)氏は、自分のEメールが流出被害に遭っていないかどうかをユーザが確認できる彼の非常に便利なWebサイト「Have I Been Pwned」に、「Collection #1」と呼ばれるデータダンプから、7億7300万のユニークなEメールアドレスと2100万のユニークなパスワードをアップロード(英語)しました。

これは極めて膨大な数であり、Hunt氏にとってもこのサイトにアップロードした最大の数となりました。あなたにとってこの事件はどのような意味があるのでしょうか? 

既視感?

InfosecのジャーナリストであるBrian Krebs(ブライアン・クレブス)氏が、「Collection#1」データをオンラインで販売している人と連絡を取りました(英語)。Krebs氏によると、その売り手は、45ドルで販売すると言い、販売したいデータは2〜3年前のもので、「膨大な数のハッキングされたサイト」からのものであると述べたそうです。

したがって、データは膨大ですが新しいものではありませんでした。しかし、Hunt氏によると、そのうちの1億4000万件のEメールアドレスは「Have I Been Pwned」サイトにとっては新たなものだとのことです。つまり、過去に流出されていたことが今になって分かったということです。今、自分の情報が流出したデータの中にあるかどうかを確認することができます(英語)。また、自分のパスワード(英語)がデータダンプの中に存在しているかどうかを調べることもできます。(もし存在が確認されたら直ちに使用を中止してください!)

この種のデータダンプは、一般にサイバー犯罪者の間で流通しています。それらは、クレデンシャルスタッフィング(Credential Stuffing)攻撃に悪用されます。これは、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃です。攻撃者は、これを迅速に行うために自動化されたツールを使用します。そしてKrebs氏の報告によると、流出した資格情報は、フィッシング、脅迫、およびその他の間接的な攻撃によってさらに効力を発揮します。

健全な習慣

過去のハッキングによるデータの流出にパニックを起こす必要はありませんが、これは、あなたのパスワードの衛生習慣をレベルアップする絶好の機会です。すなわち、常に指摘している以下の点を改めて実行してください。

各アカウントにユニークで強力なパスワードを使用する。ユニークであるとはアカウントごとに異なるパスワードを意味し、強力とは複雑で長いことを意味します。詳しくはここ(英語)を参照してください。

最も重要で機密性の高いアカウントには、2要素認証を使用する。この追加のステップにより、ハッカーがアカウントに侵入するためには、パスワードだけでなく、デバイスへの物理的なアクセスも必要になります。

今ではF-Secure TOTALの一部になったF-Secure KEYなどのパスワードマネージャを使用する。パスワードマネージャを使用すると、すべてのアカウントに対して、ユニークで長く強力なパスワードをスムーズかつ簡単に設定することができます。追記:また、F-Secure KEYは事後に重大なデータ侵害を発見するのではなく、プロアクティブに通知します。

パスワードを整理するには少し手間がかかりますが、安心感が得られるのでそれだけの価値があります。アカウントごとにユニークなパスワードを使用していて資格情報が漏洩した場合は、そのサービスのパスワードを変更するだけで済みます。同じパスワードを使用しているサービスをすべて覚えておくのに苦労するよりもはるかに簡単です。

新しい習慣を身に着けるには時間がかかり、ナーバスになることもあるので、まず小さく始めてもかまいません。F-Secure KEYをダウンロードして、毎日1件ずつアカウントを入力してください。所有しているアカウント数によりますが、数週間または数ヶ月のうちには、すべてのアカウントの処理が完了するはずです。年の初めに行うのがベストでしょう。

F-Secure Japan

27.02.19 3 min. read

カテゴリ

コメントを残す

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

ありがとうございます。登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。