インドの音楽ストリーミングプラットフォームRaagaは、2025年12月に人気のハッキングフォーラムで機密性の高いユーザーデータが販売目的で投稿されたことを受け、重大な サイバーセキュリティ インシデントの最新の被害者となりました。
この侵害により1,000万人を超えるユーザーの個人情報が露出し、アカウントの安全性やなりすまし被害のリスクに関する深刻な懸念が高まっています。
侵害されたデータベースには、約1,020万件のユニークなメールアドレスが含まれており、これに加えてさまざまな個人を特定できる情報が含まれています。
侵害の開示報告によると、脅威アクターがRaagaのシステムに不正アクセスしました。
彼らは機密性の高いユーザー記録を抽出し、その後、地下のサイバー犯罪マーケットプレイスで販売に出されました。
流出したデータセットには、ユーザー名、性別情報、年齢データ、そして一部のケースでは生年月日(完全な日付)が含まれています。
さらに、郵便番号などの地理的位置情報も侵害され、加えてユーザーパスワードがソルトなしのMD5ハッシュとして保存されていました。これは、セキュリティ専門家が現代の計算技術によって容易に解読され得るとして非常に脆弱だとみなす、非推奨の暗号方式です。
ソルトなしのMD5によるパスワードハッシュ化の使用は、重大なセキュリティ上の脆弱性を意味します。
MD5は旧来のハッシュアルゴリズムであり、レインボーテーブル攻撃や総当たりによる復号に弱いことから、10年以上にわたりセキュリティ専門家によって広く使用が推奨されていません。
ソルトなしの実装では、攻撃者が事前計算されたハッシュデータベースを用いてユーザー認証情報を効率的に逆算できるため、パスワードの解読が大幅に容易になります。
このパスワード保存の方法論は、Raagaのデータ保護インフラに潜在的な不備があることを示唆しています。
また、同プラットフォームが現代のサイバーセキュリティ標準にどの程度準拠しているのかという疑問も生じます。複数のオンラインサービスでパスワードを使い回しているユーザーは、侵害されたログイン情報が他のプラットフォームに対して体系的に試されるクレデンシャル・スタッフィング攻撃のリスクが高まります。
セキュリティ研究者は、すべてのRaagaユーザーに対し、直ちに保護措置を講じるよう助言しています。ユーザーはRaagaのパスワードを直ちに変更し、同じパスワードを使用している他のアカウントの認証情報も更新すべきです。
利用可能な場合はどこでも二要素認証を導入することで、パスワードが侵害されていても不正アクセスを防げる重要なセキュリティ層が追加されます。
サイバーセキュリティの専門家は、各オンラインアカウントごとに強力で一意のパスワードを生成・保存するために、パスワードマネージャーの採用を推奨しています。
これらのツールはパスワード使い回しの脆弱性を排除し、haveibeenpwnedによって 報告 されているように、認証情報に基づく攻撃のリスクを大幅に低減します。
ユーザーはまた、自身のメールアドレスに不審な活動がないか監視し、盗まれた情報を悪用する可能性のあるフィッシングの試みに対して警戒を怠らないようにすべきです。
このインシデントは、ますます高度化するサイバー脅威からユーザーデータを保護するうえで、デジタルサービス提供者が直面し続けている課題を浮き彫りにしています。
