Collection #1:7億超のメールアドレスが流出

2019年1月18日

2019年1月17日(米国時間)、プライバシーおよびセキュリティのエキスパートであるトロイ・ハント(Troy Hunt)氏が、Collection #1に関するブログ記事(英語)を公開しました。「Collection #1」とは、過去にインターネットに流出したことのある、ユニーク数にして7億を超えるメールアドレス、11億を超えるログインIDとパスワードのペアを含む巨大データベースです。これが皆さんにどのような影響を及ぼすのか、どういった対策を取れるのか、ご説明しましょう。

情報の流出や侵害は珍しいことではなく、時には大規模に及ぶ流出の場合もあります。悪意のある人々は流出した情報を集め、ログインIDとパスワードのデータベースを作成します。中には、情報流出が起きるたびにデータベースへ情報を追加する者もあり、今回トロイ・ハント氏が発見して解析したCollection #1のような巨大データベースが作成されるに至ります。

今回の件は、大規模な1件の情報流出(膨大な数のログイン情報が盗まれたYahoo!の件のような)に留まりません。Collection #1は2,000件を超える情報流出案件から集められた情報が蓄積されたデータベースで、古い情報は2008年にまで遡り、もっと最近の情報も含まれています。

驚いたことに、Collection #1に含まれるログインIDとパスワードの中には、2012年のLinkedInやYahoo!関連の2件(関連記事その1関連記事その2)のようなよく知られた情報流出事件で流出したものがないように見受けられます。

Collection #1の影響を受けるかどうか確認する方法

自分の情報がCollection #1に含まれているかどうか、確認できるWebサイトがあります。ハント氏が運営するhaveibeenpwned.comです。自分のアカウントで使っているメールアドレスを入力すると、同Webサイトで把握している流出データベース(Collection #1を含む)に含まれているかどうかを確認できます。

Collection #1の影響を受けることが判明したら、どうするべきか

自分のメールアドレスが流出していると判明した場合は、対策を講じる必要があります。しかし、このWebサイトでは、このメールアドレスに紐付くどのアカウントが流出したのかまでは教えてくれません。仮想通貨フォーラムのアカウントかもしれませんし、猫好きコミュニティのアカウントかもしれません。そこで、1つのパスワードを複数のサービスで使い回していたか、使い回していなかったかで、取るべき対策が変わってきます。具体的には次の2つです。

対策1:1つのパスワードを複数のサービスで使い回していた場合は、少々厄介です。自分が持っているアカウント全部の安全を確保するためには、1つ1つ、パスワードを変更する必要があります。それぞれ、文字数は長くして、アカウントごとに違うパスワードにしてください。これまで1つのパスワードだけ覚えていればよかったのに、複数のパスワードを一気に覚えようとしても難しいものです。これを機にパスワード管理ツールを利用するのもよいでしょう。

対策2:流出したメールアドレスがひも付いている複数のアカウントで別々のパスワードを使っている場合、作業は少々楽です。もちろん、全部のアカウントでパスワード変更をしてもよいのですが、必須ではありません。どのパスワードが流出したのかは、同じくhaveibeenpwned.comにある Pwned PasswordsというWebページで確認することができます。

調べたいパスワードを入力すると、haveibeenpwned.comの流出パスワードデータベースの中にあるかどうかの確認が行われ、結果が表示されます。haveibeenpwned.com内でそのパスワードが1回でも確認された場合には、変更した方がよいでしょう。該当するパスワードが見つからなかった場合は、ひとまず安心です。別のパスワードもチェックしましょう。

当然ながら、こうした情報を入力するというのはhaveibeenpwned.comを信頼するということであり、よく知らないWebサイトを信頼できないと考える人もいるはずです。そんな場合は、パスワードをそのまま入力するのではなく、パスワードのSHA-1ハッシュを貼り付けることで、同じように流出の有無を確認できます。これなら、パスワードをhaveibeenpwned.comに知らせることにはなりません。データのSHA-1ハッシュを生成してくれるツールはいろいろあります(Google検索すると、これだけ見つかります)。

情報流出の影響を受けないための一般的な対策

過去数年の間に、私たちは数々の情報流出を目にしてきました。これからも発生すると考えて間違いありません。Collection #1のような大規模データベースがこれからも時折現れ、サイバー犯罪者がそれを利用して人々のアカウントに入り込もうとすることでしょう。こうした情報流出から受ける影響をできるだけ小さくするために、以下の対策をお勧めします。

  • 文字数の多いパスワードを、アカウントごとに別々に作成する。こうしておけば、どれか1つのサービスからアカウント情報が漏れたときに、パスワードを1つ変更するだけの対処で済みます。
  • 2段階認証のオプションがある場合には、有効にする。万一あなたのログインIDとパスワードが盗まれ、誰かがあなたのアカウントにログインしようとした場合に、防波堤となってくれます。
  • 情報セキュリティのニュースをこまめにチェックする。自分が影響を受けそうな流出事件が発生したとき、すぐに対応を取ることができます。セキュリティ情報のブログKaspersky Dailyや、セキュリティニュースサイトのthreatpost(英語)などを参考になさってください。

Kaspersky Labでは、強力なパスワードがどういったものかを実感できるWebサイト、Password Checkもご用意しています。併せて参考になさってください。