240億件の盗難記録を含む新たに発見されたデータベースは、データ漏洩、フィッシング攻撃、情報窃取型マルウェアへの感染によって流出した個人情報が、依然としてオンライン上で流通し続けていることを改めて示している。
このデータセットは、インターネット上で公開された後、削除されました。研究者たちは、具体的に誰の情報が含まれていたかを特定することはできませんが、この発見を機に、ご自身のメールアドレスやパスワード、その他の個人情報がすでに流出していないかを確認する良い機会となるでしょう。
どうしたの?
Cybernewsの研究者らは、8.3 TBを超えるデータが保存された、外部からアクセス可能なデータベースを発見した。
240億件の認証情報レコードからなるこのデータは、多数のTelegramチャンネル、過去の侵害事例のまとめ、情報窃取型マルウェアのログの集積、および稼働中のサーバーから直接エクスポートされたと思われる一部のデータセットなど、36のソースに由来すると報じられている。
データはさまざまな情報源から収集されたものであるため、各レコードの内容や構成には若干の違いがあります。
一部の記録は、ユーザー名、メールアドレス、平文のパスワード、および関連するログインURLを含む、構造化された情報窃取型マルウェアのログでした。情報窃取型マルウェアとは、自宅のパソコンなど、感染したデバイスから機密情報を盗み出すように設計されたマルウェアの一種です。
感染した単一のデバイスからの情報窃取型マルウェアのログには、すべてのブラウザに保存されたパスワード、アクティブなセッションクッキーやトークン(多要素認証を迂回するものも含む)、自動入力データ、デバイスのフィンガープリント、場合によっては暗号資産ウォレットやメッセージングアカウントの情報が含まれることがあります。こうした情報のすべてが、Cybernewsの研究者が確認したようなログに記録されることになります。
約17億件の記録は、主に英語とロシア語で運営されているハッキング関連のTelegramチャンネルから流出したもので、その中には盗まれたクレジットカード情報に特化したチャンネルが少なくとも1つ含まれていた。
侵害されたデータベースは、Elasticsearchクラスター上でホストされていました。Elasticsearchは、大量のデータを迅速に保存・検索するためのツールです。Elasticsearchサーバーにパスワードや認証、ネットワーク制限が設定されていない場合、オンライン上でそのサーバーを見つけた人なら誰でもアクセスできてしまいます。パスワードやファイアウォールなどの保護措置が講じられていないと、誰でもそのデータを閲覧、コピー、変更、さらには削除することさえ可能になります。
このデータセットに含まれるその他の文書には、既知の脆弱性に関する情報、情報漏洩に関する記事、およびサイバー攻撃に関するソーシャルメディアの投稿が含まれていた。このことから、所有者はセキュリティ関連のニュースや脆弱性を積極的に監視しており、商用「監視」サービスのためか、あるいは攻撃目的のためか、最新の情報漏洩情報を用いて認証情報の蓄積を充実させていることがうかがえる。
数年前、私たちは「すべての情報漏洩の元凶」と呼ばれた事件について記事を書きましたが、そのデータセットの出所は、後にデータ漏洩検索エンジン「Leak-Lookup」であることが判明しました。
今回新たに発見された240億件のデータ流出は、前回の大規模流出と同等の規模であるが、古い静的な情報漏洩データというよりは、新たな情報窃取ツールのログがより多く含まれているようだ。
発見後まもなくデータが一般公開から削除されたため、研究者たちは発見した内容をすべて完全に追跡したり、重複する記録がいくつ含まれていたかを特定したりすることができませんでした。これは、サイバー犯罪者がデータベースを発見する可能性が低くなるという点で安心材料ですが、再利用されたパスワードによってアカウントが危険にさらされる可能性は依然として残っています。また、そもそもデータ収集の目的が何であったのかは、依然として不明のままです。
これからどうすればいいか
自分に関する情報がどれほど世の中に出回っているか、また誰がそれを収集しているかを把握しておくことは大切ですが、彼らが具体的にどのような情報を握っているかを正確に把握しておくことは、それこそがあなたに対して悪用されかねない情報であるため、さらに重要です。
1. 当社の「デジタルフットプリント・ポータル」を利用して、ご自身のデータがオンライン上で流出していないか確認してください。
2. 漏洩したパスワードが見つかった場合は、直ちに変更し、複数のアカウントで同じパスワードを再利用していないことを確認してください。メール、銀行、オンラインショッピング、ソーシャルメディアなどの重要なアカウントのパスワード更新を優先してください。
3. 可能な限り多要素認証(MFA)を有効にしてください。これにより、パスワードが漏洩した場合でもアカウントを保護することができます。
データを保護する方法
情報窃取型マルウェアは、悪意のある広告、偽のブラウザ更新、ワンクリックダウンロードなどを通じて拡散されることがよくあります。スポンサー広告はクリックせず、代わりに公式サイトに直接アクセスするようにしましょう。ソフトウェアのダウンロードは、公式のベンダーサイトやアプリストアなど、信頼できるソースからのみ行ってください。
また、人気が高まっている手法として「ClickFix」があります。これは、ユーザーを騙して自身のデバイスにウイルスを感染させてしまうソーシャルエンジニアリング攻撃です。ウェブサイト、メール、メッセージからコピーしたコマンドやスクリプトは、その出所を信頼でき、その動作内容を理解している場合を除き、絶対に実行しないでください。
海賊版ソフトウェア、ゲームのチートツール、クラックされたツール、そして怪しいブラウザ拡張機能は、依然として情報窃取型マルウェアへの感染源として一般的です。信頼できるソフトウェアや拡張機能のみを使用し、過度な権限を要求してくるものには注意してください。
最後に、フィッシングメールは依然として大きな脅威となっています。予期せぬ添付ファイルやリンク、緊急を要する依頼には十分注意してください。メッセージが本物かどうか判断に迷った場合は、メッセージ内のリンクではなく、会社の公式ウェブサイトを通じて確認してください。
また、Malwarebytes Guardを使って個々のメッセージを確認することもできます。スクリーンショットをアップロードするだけで、それが詐欺かどうかをお知らせします。
