史上最大級6億4200万件ものアカウント情報が流出してダークウェブで販売、サイト側は流出を把握せず

By Wendelin Jacober

LinkdInやTumblr、MySpaceなどのSNSや、出会い系サイト「Fling」などから流出した合計6億4200万件ものアカウント情報がいわゆる「闇のインターネット」であるダークウェブの中で販売されていることが判明しています。

Cluster of “megabreaches” compromises a whopping 642 million passwords | Ars Technica
http://arstechnica.com/security/2016/05/cluster-of-megabreaches-compromise-a-whopping-642-million-passwords/

この出来事を報じたのは、セキュリティ調査員のTroy Hunt氏が2016年5月30日に公開したブログのエントリでした。Hunt氏は自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかるサイト「Have I been pwned? (HIBP)」を運営している人物でもあるのですが、そのサイトのデータベースに情報を追加する際に興味深い現象に気がついたとのこと。

その現象とは、2016年5月末前後にアップロードした流出情報の詳細に、ある共通点があったことといいます。2016年4月末には、2012年に流出したLinkdInのアカウント情報1億6400万件がデータベースに追加されており、さらに同年5月末には2011年に流出した出会い系サイトFlingのアカウント情報4000万件や、2013年に流出したTumblrのアカウント情報6500万件などがHIBPのデータベースにアップロードされているのですが、そのいずれもが実際の流出から数年を経たものであったとのこと。そしていずれのサイトも、この流出を把握していなかったといいます。

さらに、MySpaceからもパスワード情報が流出して、わずか2800ドル(約31万円)で売りに出されるという事件も起こっています。

そしてこれらの情報は、インターネットへのアクセス経路を匿名化する「Tor(トーア)」などを用いてアクセスする「ダークウェブ」の中で実際に販売されていることも明らかになっています。販売を行っているのは「peace_of_mind」という名前のアカウントで、LinkdInのアカウント情報1億6700万件は取引価格2ビットコインで売りに出されています。(0.000000012 BTC/件)

アカウント数4000万件のFlingの場合は、0.5828ビットコイン(0.000000015 BTC/件)

5000万件のTumblrは0.4255ビットコイン(0.000000009 BTC/件)

3億6000万件というMySpaceは6ビットコインで取引されている模様。(0.000000017 BTC/件)

そしてこの「peace_of_mind」に対する評価も注目すべきポイント。24人が「Positive(良い)」、2人が「Neutral(中間)」を付けており、誰も「Negative(悪い)」を付けていないことから、実際の購入者はおおむねその中身に満足しているとみられます。

果たしてなぜ流出から数年を経たデータが販売されることになったのか、そして実際にデータの中身に満足しているとみられる購入者が存在していることなど、多くの謎に包まれた最新のアカウント流出劇の傾向ですが、ここから見えてくるのは、実際にいまこの瞬間に流出したデータが、数年後に売りに出される可能性も否定できないところにあるといえそう。パスワード管理を定期的に実施したり、可能な場合は2段階認証などのセキュリティ対策を行っておけばリスクを減少させることも可能ですが、とかくインターネットにはこの手のリスクが付きものであるという意識は常に持っておく必要があると言えそうです。