Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明

By Automobile Italia

GmailやHotmail、Yahoo!、そしてロシアで広く使われている「Mail.ru」などのウェブメールサービスから、合計2億2700万件というとてつもない数のメールアドレスとパスワードがセットになって流出していたことが判明しました。詳細は各サービスとも調査中とのことですが、気になった人は念のためパスワードを変更しておいたほうが良さそうです。

Hold Security Recovers 272 Million Stolen Credentials From A Collector – Hold Security
http://holdsecurity.com/news/the_collector_breach/

Exclusive: Big data breaches found at major email services - expert | Reuters
http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6

Webmail firms probe login 'leak' - BBC News
http://www.bbc.com/news/technology-36204531

この史上最大クラスの流出事件はセキュリティ会社「Hold Security」によって明らかにされたもの。同社の設立者であるアレックス・ホールデン氏によると、流出したアドレスはMail.ruが5700万件、Yahoo!が4000万件、Hotmailが3300万件で、Gmailが2400万件となっており、この他にもドイツや中国のメールサービスのアドレスも含まれているとのこと。

事件が発覚したのは、若いロシア人ハッカーがあるフォーラムで自身のハッキングを自慢している内容をHold Securityのスタッフが見つけたことに始まります。そのロシア人ハッカーはハッキングで入手したアドレス情報を合計で11億7000万件保有しており、データを欲しい人に実質無料で配る用意があると公表していたそうです。驚くべきはその配布の条件で、ロシア人ハッカーが示した内容は「フォーラムで自分を褒める内容を書く」というものだったとのこと。そして、この条件を満たす人物には、なんと全データをたった50ルーブル(約80円)で譲るとしていたそうです。

By Brian Klug Follow

データを分析したHold Securityによると、重複分を除いたデータの総数が冒頭の「2億2700万件」となっており、この中には同じアドレスが異なるパスワードとセットになっているものも含まれるとのこと。一報を受けたMail.ruは調査を行い、実際の被害状況は予想されているほど深刻ではないと発表しています。実際にユーザー名とパスワードのマッチングを調査すると、現状で使われているものはほとんど見つからなかったことがその理由とのこと。

これは、過去にパスワードを変えた古いデータがそのまま含まれていることを示しているのですが、ホールデン氏はこれに安心すべきではないと指摘しています。その理由は、ユーザーは同じパスワードを使い続ける傾向があるから、というもの。一般的にパスワードを設定する際には、すぐに思い出せるようなものを使う傾向にあり、しかもうっかり忘れてしまわないように、複数のサービスでパスワードを使い回す傾向にあるため、古いパスワードを復活させて再び使うことも珍しくはないため、としています。

GoogleやYahoo!、Microsoftは現在調査中のため、報道各社の取材に対してコメントを差し控えているとのこと。

大量のアカウント情報が実質的に「無料配布」の状態で公開されていたという恐るべき事件が発覚したわけですが、ユーザーがとれる自己防衛策はなんといってもパスワードの管理を強化することに尽きます。「1234」や「abcdefg」などの誰でも思いつくようなパスワードを徹底的に避け、パスワード生成ソフトなどで作った複雑なパスワードを使って定期的にパスワードを更新し、パスワード管理ソフトで管理するという対策を心がけることが重要といえそうです。

◆2016/05/09追記
世界的に大きく報じられたメール情報流出のニュースですが、一方ではその内容に疑問を向ける見方も存在しています。Ars Technicaはこのニュースを一切報じていなかったのですが、その理由は流出したメールの信憑性に疑問があるためというものだったとのこと。Hold Securityによって流出の恐れが明らかにされた直後、名前が取り沙汰されたMail.ruやGoogleといったメールサービス提供プロバイダーが調査を実施したのですが、流出されたとされるアドレスやパスワードのほとんどは存在しないか、誤った内容であったことが報告されていたというのが、その理由とのことです。Ars Technicaは、Hold Securityの公開方針にも疑問の目を向けています。

Garbage in, garbage out: Why Ars ignored this week’s massive password breach | Ars Technica
http://arstechnica.com/security/2016/05/the-massive-password-breach-that-wasnt-google-says-data-is-98-bogus/