インドの音楽ストリーミングプラットフォームRaagaは、1,020万人以上のユーザーの個人情報が露出した大規模なサイバーセキュリティ侵害を確認しました。
2025年12月に発見されたこの事件は、重大なセキュリティ上の失敗を示すもので、影響を受けたすべてのユーザーに対し、直ちに認証情報を変更するよう緊急の警告が出されています。
侵害されたデータベースには、約1,020万件の一意のメールアドレスに加え、広範な個人を特定できる情報が含まれています。
侵害の開示報告によると、脅威アクターがRaagaのシステムに不正アクセスし、機微なユーザー記録を抽出した後、それらが地下のサイバー犯罪マーケットプレイスで販売目的で投稿されました。
流出したデータセットには、ユーザー名、性別情報、年齢データ、そして多くの場合、生年月日(完全な日付)が含まれています。
郵便番号などの地理的位置情報も侵害され、影響を受けたユーザーの包括的なプロフィールが作成され得る状態となったことで、標的型フィッシング攻撃やなりすまし(ID)盗用のリスクが高まります。
この侵害で最も憂慮すべき点は、Raagaがユーザーパスワードをどのように保存していたかです。流出した記録には、ソルトなしMD5でハッシュ化されたパスワードが含まれており、これは非推奨の暗号方式で、セキュリティ専門家が危険なほど時代遅れだとみなしているものです。
これは重大なインフラ上の不備を示しており、事件の深刻度をさらに増幅させています。
MD5はレガシーなハッシュアルゴリズムであり、セキュリティコミュニティは10年以上にわたり使用を推奨していません。その根本的な弱点は、レインボーテーブル攻撃への脆弱性にあります。これは、攻撃者が事前計算されたハッシュデータベースを用いて、パスワードを迅速に逆算する手法です。
ソルト(ハッシュに追加されるランダムデータ)がないことで、このプロセスは飛躍的に容易になり、攻撃者は現代の計算技術を用いて大規模にパスワードを解読できてしまいます。
このパスワード保存方式は、Raagaのデータ保護インフラに深刻な欠陥があることを示唆しており、同プラットフォームが現代のサイバーセキュリティ標準を順守しているかどうかに疑問を投げかけます。
業界のベストプラクティスでは、MD5よりも総当たり攻撃に対して大幅に耐性の高いbcrypt、scrypt、またはArgon2アルゴリズムの使用が推奨されています。
複数のサービスでパスワードを使い回しているユーザーは、クレデンシャルスタッフィング攻撃に対してより脆弱です。これは、侵害されたログイン認証情報が
他のプラットフォームに対して体系的に試行される攻撃です。メールアドレスと弱いパスワードハッシュが同時に露出したことで、影響を受けたユーザーにとって特に危険な状況が生じています。
サイバーセキュリティの専門家は、すべてのRaagaユーザーに対し、直ちに防御策を講じるよう助言しています:
この事件は、デジタルサービス提供者がますます高度化するサイバー脅威からユーザーデータを保護するうえで直面している継続的な課題を浮き彫りにしています。
非推奨の暗号方式への依存は、組織がセキュリティインフラを緊急に監査し、ユーザー情報を効果的に保護するために現代的なデータ保護標準を実装しなければならないことを示しています。
翻訳元: https://cyberpress.org/raaga-data-breach-exposes-personal-data-of-10-2-million-users/