5億8500万件以上のパスワードをイギリス国家犯罪対策庁が個人情報流出確認サイト「Have I Been Pwned?」と共有

2021年12月20日、個人情報の流出を確認できるウェブサイト「Have I Been Pwned?(HIBP)」の開発者であるトロイ・ハント氏が、「イギリスの国家犯罪対策庁(NCA)が、調査中に発見した5億8500万件以上のパスワードをHIBPと共有した」と報告しました。

Troy Hunt: Open Source Pwned Passwords with FBI Feed and 225M New NCA Passwords is Now Live!
https://www.troyhunt.com/open-source-pwned-passwords-with-fbi-feed-and-225m-new-nca-passwords-is-now-live/

UK govt shares 585 million passwords with Have I Been Pwned
https://www.bleepingcomputer.com/news/security/uk-govt-shares-585-million-passwords-with-have-i-been-pwned/

The NCA shares 585 million passwords with Have I Been Pwned - The Record by Recorded Future
https://therecord.media/the-nca-shares-585-million-passwords-with-have-i-been-pwned/

HIBPは自分のパスワードやメールアドレス、電話番号を使用して、ネットサービスのアカウント情報が流出しているかどうかをチェックできるウェブサイトです。最初はメールアドレスやIDによる検索にのみ対応していましたが、2018年からはパスワードを過去の漏えいデータと照合できるサービス「Pwned Passwords」も展開しています。企業やシステム管理者はPwned Passwordsを使い、パスワードがハッキングなどで侵害されているかどうかを確認し、ブルートフォース攻撃(総当たり攻撃)やパスワードスプレー攻撃に使用される危険があるかどうか調べることが可能です。

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

近年のHIBPは、法執行機関からの情報提供に基づいて「侵害されているパスワードのリスト」をアップデートする取り組みを進めており、2021年5月にはアメリカ連邦捜査局(FBI)が保有している流出パスワードデータが追加されました。

そしてハント氏は12月20日のブログ記事で、FBIに続いてイギリスのNCAが合計5億8500万件以上の「何者かによって侵害されたパスワード」をHIBPと共有したと発表しました。ハント氏がNCAによって共有されたパスワードデータをインポートして解析したところ、約5億8500万件のうち2億2500万件以上はこれまでのリストにないものだったことが判明したそうです。

記事作成時点におけるPwned Passwordsの最新のリリースでは、リストに含まれている「侵害されたパスワード」の合計数は約55億8000万件であり、そのうちユニークなパスワードは8億4700万件だとのこと。

NCAがハント氏に寄せたコメントによると、今回共有された「侵害された可能性がある資格情報(メールアドレスとパスワード)」は、イギリスのクラウドストレージ施設から発見されたものだそうです。分析の結果、これらの資格情報が既知および未知の侵害されたデータセットであることが判明したとのこと。

「これらのデータが未知の犯罪アクターによってイギリスのビジネス向けクラウドストレージ施設に置かれたという事実は、資格情報が現時点でパブリックドメインに存在することを意味し、このデータがさらなる詐欺やサイバー犯罪のために第三者によって侵害される可能性があります。特定された資格情報は、1つの会社やプラットフォームに帰属させることができなかったため、NCAの国家サイバー犯罪ユニット(NCCU)は『Have I Been Pwned(HIBP)』の開発者兼CEOであるトロイ・ハント氏と手を組みました」と、NCAは述べました。