個人情報が流出しているかどうかをチェックできるサービス「Have I Been Pwned?」の設立者であるトロイ・ハント氏が、FacebookやYahooなどのパスワード2500万件以上を含む104GBものデータがダークウェブサイトで取引されていることを報告しています。

Troy Hunt: Inside the Massive Naz.API Credential Stuffing List
https://www.troyhunt.com/inside-the-massive-naz-api-credential-stuffing-list/

Researcher uncovers one of the biggest password dumps in recent history | Ars Technica
https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale/

ハント氏によると、今回ダークウェブサイト上で発見されたデータは、319ファイル、合計104GBに上るとのこと。データの中には、7084万771件のメールアドレスや、2500万以件上のパスワードが含まれており、「Have I Been Pwned?」に登録している42万7308人ものユーザーが被害を受けたことが判明しました。また、「Have I Been Pwned?」でこれまで個人情報の流出が確認されなかったメールアドレスが約35％含まれることから、以前に流出したデータの使い回しではないことが明らかとなっています。

さらにハント氏は流出した個人情報の一部を取り上げ、FacebookやRoblox、Coinbase、Yammer、Yahooなどのログイン情報が流出していることを示しました。

これらの個人情報は、被害者のデバイスに侵入した「ログインページに入力されたすべてのユーザー名とパスワードをアップロードするマルウェア」によって流出したとされており、取引されるパスワードは暗号化しない「平文」で表示されていたとのことです。

また、ハント氏は「流出し、公開されているパスワードのほとんどが『辞書攻撃』の標的となりやすいワンパターンなものでした」と指摘しています。

さらに「複数のサービスで同じパスワードを使い回す場合や、まったくの別人が同じパスワードを使用している場合などで流出の危険性が高くなります。具体例として、飼っている犬の名前や生まれた年は人間と比べてバリエーションが少ないため、標的にされやすくなります」とハント氏は指摘しました。

このダークウェブサイトによると、個人情報の取得には、かつて別のサイトで配布された「Naz.API」と呼ばれる大規模データセットが用いられているとのこと。また、ハント氏は「取引されている認証情報の大部分は、過去に流出したアカウント認証情報を大量に収集する『アカウントハイジャック攻撃』の一種である『クレデンシャルスタッフィング攻撃』によるものです」と主張しています。

海外メディアのArs Technicaはアカウントを適切に保護するために「ランダムに生成されたパスワードやパスフレーズなどを用いる」「フィッシングサイトにパスワードを入力しない」「できる限り2要素認証やセキュリティキーなどを使用する」「パスワードレスのサインイン標準規格であるパスキーを使用する」ことを推奨しています。

・関連記事
個人情報が流出したかどうかをチェックできる「Have I Been Pwned?」が設立10周年を迎える - GIGAZINE

個人情報流出チェックサイト「Have I Been Pwned？」が電話番号での検索に対応 - GIGAZINE

5億8500万件以上のパスワードをイギリス国家犯罪対策庁が個人情報流出確認サイト「Have I Been Pwned?」と共有 - GIGAZINE

パスワード流出チェックサイト「Have I Been Pwned?」にMicrosoft Azureから突然高額の料金請求が、いったいなぜ？ - GIGAZINE

サイバー攻撃の一環で病院の患者に脅迫メールが届く事態に、「7000円払えばデータを削除する」と攻撃者 - GIGAZINE