7.7億件のメールアドレスと2000万件のパスワードがネット上で見つかる

セキュリティー専門家のトロイ・ハント氏は2019年1月17日に、7億7290万4991件のメールアドレス情報と2122万2975件のパスワード情報がネット上に漏洩したとブログで公開しました。

 

【参考】The 773 Million Record “Collection #1” Data Breach

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

 

流出した情報は個人情報漏洩検索サービス「Have I Been Pwned」で確認できます。

【参考】Have I Been Pwned

https://haveibeenpwned.com/

 

今回流出したデータはクラウドストレージサービスである「MEGA」にアップロードされていました。これは2000以上のデータベースを集めたものとされています。

 

アップロードされたデータにはハント氏自身が使っていた電子メールと、実際に過去使われていたパスワードが含まれていました。このことからも流出したパスワードは過去に実際に使われていたものであることがわかります。

 

流出したメールアドレスとパスワードを確認できる「Have I Been Pwned」

Hava I Been Pwned(以下HIBP)というサイトをご存じでしょうか。今回のパスワードの流出をブログに公開した、トロイ・ハント氏が運営するWebサイトです。

HIBPにアクセスすると電子メールを入力するフォームが表示されます。ここに自分のメールアドレスを入力すると、入力されたメールアドレスに紐づけられたパスワードが流出したサイトの数が表示されます。私も10年以上使っているメールアドレスを入力して確認したところ、6つのサイトで使われていたパスワードが流出してました。

またHIBPではパスワードそのものが流出しているかどうか確認できるページもあります。

【参考】Pwned Passwords

https://haveibeenpwned.com/Passwords

このページでは実際に使用しているパスワードを入力する事になります。しっかりとした運営者が運営しているサイトなので、悪用される恐れは少ないですが、確認はあくまでも自己責任でお願いします。

 

もし自分のメールアドレスをHIBPに入力してパスワードの流出が発覚したら、どうしたらよいのでしょうか。今すぐできる対処法について紹介します。

 

新しいパスワードに変更する

メールアドレスに関連付けられているパスワードの流出が発覚したら、何よりも速くパスワードを変更しましょう。できれば他のサイトと同じパスワードは使わずに、1つのWebサービスに1つのパスワードを対応させて管理することがおすすめです。

 

2段階認証を導入する

2段階認証に対応しているサービスでは積極的に活用するようにしましょう。2段階認証とは従来のIDとパスワードによる認証に加えて、スマートフォンなどのデバイスに特定のコードを送信して、受信したコードをWebサービスの2段階認証の画面に入力して認証を行う仕組みのことです。

これを利用すれば、たとえIDとパスワードが漏洩してしまっても、本人しか所有していないスマートフォンが最後の砦となって不正なログインを防ぐことができます。

Twitterやfacebookなどの主要なSNSではほとんどが2段階認証に対応しています。

 

パスワード管理ツールを導入する

1つのサイトに1つのパスワードという原則を徹底していれば、たとえ1つのサイトでパスワードが流出しても、他のサイトへの不正ログインを防ぐことはできます。しかし現在のインターネットの世界には様々なWebサービスやSNSが存在しており、IDとパスワードで認証すべきWebサイトが多すぎるのが現状です。

そのため複数のサイトで同じIDとパスワードを使いまわしているのが現状でしょう。利用しているすべてのサイトで異なるパスワードを使うは、管理の面であまり現実的ではないからです。

そこでパスワード管理ツールの出番です。Google ChromeやFirefoxなど主要なブラウザにはパスワードマネージャーの機能を備えており、特にGoogle Chromeでは新しいWebサービスに登録するとき、複雑なパスワードを提案してブラウザで管理できる機能も備わっています。

すべてのパスワードを人間の頭で記憶するのは大変ですが、このようなパスワードマネージャーなどの機能を使ってパソコンで管理すれば、利用者の負担は軽減できます。

 

(Photo by Luca Bravo on Unsplash

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています