新たに発見されたデータベースには240億件もの盗難記録が含まれており、データ侵害やフィッシングキャンペーン、インフォスティーラー感染によって流出した個人情報が今もオンライン上を流通し続けていることを改めて示しています。
このコレクションはインターネット上に一時的に公開された後、オフラインとなりました。研究者たちは誰の情報が含まれているかを正確には確認できていませんが、この発見はメールアドレス、パスワード、その他の個人データがすでに流出していないかを確認する良い機会です。
まず確認すべきは、Malwarebytesのデジタルフットプリントポータル(DFP)です。既知のデータ流出や侵害においてあなたの情報が露出しているかどうかを確認できます。
何が起きたのか
Cybernewsの研究者たちが、8.3TBを超えるデータを保有する公開状態のElasticsearchクラスターを発見しました。
240億件のクレデンシャルレコードで構成されるこのデータは、36のソースから収集されたとされており、多数のTelegramチャンネル、過去の侵害コンパイル、インフォスティーラーのログコレクション、そして稼働中のサーバーから直接エクスポートされたと思われるデータセットが含まれています。
データが複数のソースから収集されているため、レコードの内容や構成にはいくつかの違いがあります。
一部のレコードは、ユーザー名・メールアドレス・平文パスワード、および関連するログインURLを含む構造化されたインフォスティーラーのログでした。約17億件のレコードは、主に英語とロシア語のハッキング関連Telegramチャンネルから収集されており、少なくとも1つは盗難クレジットカード情報に特化したチャンネルでした。
流出したデータベースはElasticsearchクラスター上にホストされていました。Elasticsearchは大量のデータを高速で保存・検索するためのツールです。パスワードや認証、ネットワーク制限が設定されていない場合、オンライン上で見つけた誰もがアクセスできてしまいます。パスワードやファイアウォールといった保護措置がなければ、誰でもデータの閲覧・コピー・変更・削除が可能です。
データセット内の他のドキュメントには、既知の脆弱性に関する情報、侵害に関する記事、サイバー攻撃に関するSNS投稿なども含まれていました。これは、このデータベースの所有者がセキュリティニュースや脆弱性を積極的に監視し、最新の侵害情報を使ってクレデンシャルの蓄積を拡充していることを示唆しており、商業的な「監視」サービスや攻撃的な用途に使われている可能性があります。
数年前、当サイトでは「史上最大の侵害(Mother of All Breaches)」と呼ばれた事件について取り上げました。そのデータセットのソースは、データ侵害検索エンジンのLeak-Lookupだと特定されています。
今回新たに発見された240億件の流出データは、規模においてかつてのメガダンプに匹敵しますが、古い静的な侵害データよりも最新のインフォスティーラーのログに重点が置かれているようです。
単一の感染デバイスから得られるインフォスティーラーのログには、すべてのブラウザに保存されたパスワード、MFAを回避するアクティブなセッションCookieやトークン、オートフィルデータ、デバイスのフィンガープリント、さらには暗号ウォレットやメッセージングアカウントの情報が含まれることもあります。Cybernewsの研究者が確認したようなログに最終的に集約されるのは、このような完全なデータの束です。
データは発見後まもなく公開状態から取り除かれたため、研究者たちは発見内容を完全に追跡したり、重複レコードの数を把握したりすることができませんでした。これはサイバー犯罪者がデータベースを発見する可能性が低下するという点で安心材料ですが、パスワードの使い回しによってアカウントが危険にさらされる可能性は依然として残っています。
今すぐ行うべきこと
自分に関するどれほどの情報が出回っており、誰が収集しているかを把握することは重要ですが、さらに大切なのは具体的にどの情報が流出しているかを知ることです。それこそが悪用される可能性のある情報だからです。
まず、自分のメールアドレスが既知の侵害やインフォスティーラーのログに含まれていないか確認してみましょう。
流出したパスワードが見つかった場合は、すぐに変更し、複数のアカウントで同じパスワードを使い回していないか確認してください。
過去にパスワードを使い回していた場合は、メール、銀行、ショッピング、SNSなど重要なアカウントを優先して更新してください。また、パスワードが流出した場合でもアカウントを守る助けになるため、可能な限り多要素認証(MFA)を有効にしてください。
データを守るために
インフォスティーラーは悪意のある広告(マルバタイジング)、偽のブラウザアップデート、ワンクリックダウンロードを通じて感染することが多いため、広告やポップアップには適度な懐疑心を持って接することが重要です。個人的なアドバイスとして、スポンサー広告は絶対にクリックしないことをお勧めします。代わりに公式ウェブサイトに直接アクセスし、ソフトウェアは公式ベンダーサイトやアプリストアなど信頼できるソースからのみダウンロードしてください。
もう一つの急増している手口がClickFixです。これはユーザー自身に自分のデバイスを感染させるよう誘導するソーシャルエンジニアリング攻撃です。ウェブサイト、メール、メッセージからコピーしたコマンドやスクリプトは、ソースを信頼しており、その操作の目的を理解している場合を除いて、絶対に実行しないでください。ウェブサイトがコマンドの実行や技術的な操作を求めてきた場合は、実行前に公式ドキュメントを確認するか、サポートに問い合わせてください。
海賊版ソフトウェア、ゲームチート、クラックツールは、インフォスティーラーの最も一般的な配布手段の一つです。これらのダウンロードには、目的のソフトウェアと一緒にインストールされるマルウェアが同梱されていることが多くあります。同様の注意が多くのブラウザ拡張機能やアドオンにも当てはまります。追加機能や利便性を謳う拡張機能は特に注意が必要です。信頼できる開発者の拡張機能のみを使用し、レビューと権限を慎重に確認し、必要以上のアクセスを要求するアドオンはインストールしないようにしてください。
フィッシングメールは依然として大きな脅威ですが、慌てずに確認する習慣をつければ多くの場合見抜くことができます。信頼できるブランドからのように見えるメールであっても、特にファイルの開封、緊急のインストール、料金に関する問題の解決を促す内容の場合、添付ファイルやリンクは慎重に扱ってください。不審に感じたら、送信者のアドレスを確認し、誤字脱字や不自然な表現がないかチェックし、メール内のリンクではなく企業の公式ウェブサイトなど別のチャンネルを通じてリクエストの真偽を確認してください。
