- Cybernewsが36のソースから収集された240億件の平文認証情報を含む、公開状態のElasticsearchデータベースを発見
- アーカイブ(約8TB)は情報窃取型マルウェアのログ、Telegramリーク、過去の侵害データを集約したもので、定期的に更新されていた模様
- 所有者不明、英語・ロシア語混在のソース構成、「Darkside」チャンネルに関連する2億6000万件のレコードを含む
インターネット上に、240億件ものレコードを含む巨大なデータベースが、場所さえ知っていれば誰でもアクセスできる状態で放置されていることが明らかになりました。ユーザー名、パスワード、ログインURLがすべて平文で保存されていました。
このElasticsearchデータベースは今月初め、Cybernewsのセキュリティ研究者チームによって発見されました。同チームは、このデータベースが各種情報窃取型マルウェア(インフォスティーラー)によって生成されたさまざまなログをまとめたものだと見ています。
「認証情報の漏洩がこれほど危険なのは、単純にその膨大な規模ゆえです」とCybernewsは述べています。「データがオンラインに流出した以上、影響を受けた数十億ものアカウントが、特に多要素認証で保護されていない場合、乗っ取りの深刻なリスクにさらされています」
所有者不明
このアーカイブは発見された直後に閉鎖されたため、Cybernewsチームはより詳細な分析を行うことができませんでした。それでも調査の結果、情報が36の異なるソースから収集されていることは確認できました。ソースは「Telegramチャンネルから、過去の侵害データの集合体、そして実稼働中のターゲットサーバーから直接エクスポートされたデータセットまで」多岐にわたっていました。
このアーカイブのサイズは8テラバイトを超えており、これまでに発見されたアーカイブの中でも最大規模の一つです。残念ながら、エントリーの中に重複がどれだけ含まれているかを正確に判断することは不可能ですが、少なくとも一部は重複していると考えるのが妥当です。
Cybernewsはデータの収集時期についても特定できませんでしたが、漏洩データ内に含まれていた2026年2月付けのニュース記事をもとに、このクラスターが定期的に更新されていたと結論付けられると強調しています。
データベースの所有者の正体は依然として謎のままです。内部にリストされたTelegramのソースは英語のものが多かったものの、一部はロシア語でした。さらに、約2億6000万件のレコードが「Darkside」という名称を含むTelegramチャンネルから収集されており、これは数年前にColonial Pipelineへの壊滅的な攻撃を引き起こし、現在は活動を停止したランサムウェアグループの名前を冠しています。
所有者が誰であれ、サイバーセキュリティの動向を積極的に監視し、コレクションを頻繁に更新しているようです。
