著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は3件のトピックを紹介する。様々なサービスから流出したパスワードの分析結果と、ふくい産業支援センターで発生したトラブル、カレー店のメールマガジンシステムに対する不正アクセスである。
2万3000を超えるサービスから流出したパスワードが見つかる(11月19日)
セキュリティー研究者のトロイ・ハント(Troy Hunt)氏は2万3000を超えるサービスから流出したとみられるメールアドレスやパスワードを含むデータの分析結果を公開した。同氏はメールアカウントやパスワードが流出していないかを利用者自身が確認できるサービス「Have I Been Pwned」(HIBP)の運営者として知られている。
分析したデータはハッカーフォーラムでやりとりされていたものとみられ、2.2億個のメールアドレスが含まれていた。その半数以上はHIBPにすでに登録されていた過去の流出データだったが、4割近くは新たに流出したデータだとハント氏は分析した。
またデータ内のファイルには、ファイル名に「解読済み」と書かれたものが見つかった。これらのファイルに含まれるパスワードはハッシュ化して保管されていたパスワードを、犯人が解読して復元した元の文字列(デハッシュしたパスワード)ではないかとハント氏は推測している。最近はハッシュ化したパスワードを流出させても、「暗号化したパスワードなので直ちに危険が及ぶ可能性は低い」などと発表する事業者がある。しかし、すぐにデハッシュされるケースがあるためハッシュ化していても安心できない。
筆者もハント氏が分析したとみられるデータを確認したところ、データ内に200以上のJPドメインのURLが見つかった。これらのURLは国内の大手不動産デベロッパーやドメイン登録サービス、政府刊行物に関係する組織などのサービスで利用されていた。ここに含まれる国内サービスの中にはメールアドレスやパスワードの流出を公表していないところが多く、流出に気づいていない可能性がある。
ハント氏はこのデータをHIBPに登録したという。不安に思う人はHIBPで確認するとよいだろう。HIBPのトップページ(https://haveibeenpwned.com/)にアクセスして、調べたいメールアドレスを入力すると流出しているかどうかの結果が表示される。
https://www.troyhunt.com/inside-the-cit0day-breach-collection/
