100万件以上のGoogle・Yahooアカウントのパスワードがダークウェブ上で販売されている
By Sebastian Sikora
Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したり、Yahooから過去最大級となる5億人分ものユーザー情報が流出したり、ロシア最大のSNSであるVKから1億件分のパスワードが暗号化されずに平文で流出したり、日本でもJTBから700万人分の個人情報流出したりと2016年はハッカーによる不正アクセスから多くの個人情報が流出しました。そういった不正アクセスにより流出した情報は一体どうなるのかがわかる「ダークウェブ上で販売されているアカウント情報」の詳細が明らかになっています。
1 Million Decrypted Gmail and Yahoo Accounts Being Sold on Dark Web
https://www.hackread.com/1-million-gmail-yahoo-accounts-on-dark-web/
Hacker Selling Over 1 Million Decrypted Gmail and Yahoo Passwords On Dark Web
http://thehackernews.com/2017/03/gmail-yahoo-password-hack.html
セキュリティ関連ニュースサイトのHackReadがダークウェブ上で販売されている約100万件分のGoogleアカウントやYahooアカウントを発見しました。これらの情報を販売しているのは「SunTzu583」というハンドルネームのユーザーで、販売されているアカウント情報は暗号化が解除された状態だそうです。販売されているアカウント情報はそれぞれ流出元や時期ごとに4つに分けられており、合計すると109万5000件分のアカウント情報になります。
世界最大のオンライン・ミュージックカタログサービスであるLast.fmから流出した10万件分のYahooアカウントはわずか0.0079Bitcoin、約10.75ドル(約1200円)で販売されています。
さらに、2013年にAdobeから流出したデータと2008年にMySpaceから流出したデータ、合わせて14万5000件分のYahooアカウントが0.0102Bitcoin、約13.76ドル(約1600円)で販売中。
加えて、2008年にMySpaceから流出したデータと2013年にTumblrから流出したデータ、さらに2014年にロシアのBitcoinセキュリティフォーラムから流出したデータを合わせた50万件分のGoogleアカウントが0.0219Bitcoin、約28.24ドル(約3200円)で販売されています。
2012年にDropboxから流出したデータや2012年にAdobeから流出したデータなどを合わせた45万件分のGoogleアカウントは0.0199Bitcoin、約25.74ドル(約2900円)で販売。
販売されているデータが本物かどうかを検証することは困難ですが、HackReadは「Hacked-DB」や「Have I been pwned?」といった「過去に流出したメールアドレスやIDかどうかを調べるサービス」を利用して、販売されていたデータを検証しています。検証では元の持ち主に連絡を入れて実際にログインできるかどうか試したそうで、中にはパスワードが変更されていないものも存在したそうです。
なお、データは古いものが多いものの、クリアテキストのまま販売されているので「大きな脅威になり得る」とのことで、上記の流出案件に関係するアカウントを持っている場合はアカウントのパスワード変更が推奨されています。
・関連記事
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE
中国製のネットワーク端末にバックドアの存在が発覚、IoT時代の大問題になる可能性 - GIGAZINE
Pepperたちロボットの抱えるセキュリティリスクを研究者らが警告 - GIGAZINE
「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE
パスワードの使い回しや大文字小文字が混在しているかなどをチェックするお節介過ぎるパスワードチェッカーが登場 - GIGAZINE
日本語版のGoogle Playに偽装してクレジットカード情報を盗み出すフィッシング(詐欺)サイトが登場 - GIGAZINE
・関連コンテンツ