12億件のユーザー名＆パスワードと5億件のメアドがハッカーに盗まれる

By stavos

ロシアの犯罪組織がユーザー名とパスワードの組み合わせ12億件、およびメールアドレス5億件など膨大なインターネットのログイン情報を盗み出していたことが、アメリカのセキュリティ企業Hold Securityの調べで明らかになりました。

YOU HAVE BEEN HACKED! – Hold Security
http://www.holdsecurity.com/news/cybervor-breach/

Russian Hackers Steal Passwords of Billion Users - NYTimes.com
http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html

Hold Securityによると、被害に遭ったのは有名サイトから小規模・無名なものまで42万件に上るウェブサイト。どの企業なのか、どのサイトなのかは公開されていませんが、ユーザー名とパスワードの組み合わせ12億件やメールアドレス5億件がロシアのハッカー集団によって盗み出され、犯罪者の手に渡ったとのこと。

Hold Securityは2013年のAdobeユーザーの情報漏洩を突き止めた実績を持つ企業。New York Timesはセキュリティの専門家にHold Securityのデータの分析を依頼しており、信頼できる情報であるとの裏を取っています。

Hold Securityの設立者アレックス・ホールデン氏は、「ハッカーたちはFortune 500にランクインするような大企業からとても小規模なウェブサイトまでを標的にしています。ほとんどのウェブサイトのセキュリティは脆弱です」と話しています。被害範囲が甚大であることと、連絡がとれない小さなウェブサイトが多く存在するため、ホールデン氏は危険を知らせるためにハッキングの調査データを公表するに至ったとのこと。

2013年12月にも東ヨーロッパの大手小売店をターゲットに4000万件のクレジットカード番号、7000万件の住所・電話番号などがハッカーによって盗み出される事件も発生しており、IT調査企業のガートナーのアナリストであるAvivah Litan氏は「ユーザー名とパスワードに頼る会社は、切迫感を持って状況を変えていかなくてはなりません」と警告しています。

ハッカーたちはログイン情報からTwitterなどのSNSに侵入して個人情報を収集し、スパムを拡散することで利益を得ているとのこと。クレジットカードの不正利用はカードを停止すれば対処できますが、メールアドレス・住所・社会保障番号などのすぐに変更できない個人情報は、ハッカーにとって売り払うよりも有益であるようです。

By Photo Giddy

2014年4月からロシアのハッカーたちは活動を加速させています。彼らは広大なボットネットによってウイルスに感染させたユーザーを使い、ウェブサイトを訪れた時にSQLインジェクションによってセキュリティの強弱をテストしているとのこと。

ハッキングとセキュリティの関係はいたちごっこ状態で、アメリカのシンクタンク・ランド研究所の研究者によると「アタッカーの攻撃力は確実にセキュリティの防御力を上回っています」とのことなので、ウェブサービスを使うにあたっては、ユーザー側でも「よく似たパスワードを流用しない」などの対策を徹底していく必要があります。