1.84億件のパスワード流出、セキュリティ研究者が指摘--グーグル、マイクロソフト、Facebookなど影響の恐れ（ZDNET Japan）

　サイバーセキュリティ研究者のJeremiah Fowler氏は、米国時間5月22日に公開されたレポートで、1億8400万件以上の固有のアカウント情報を含む大規模なオンラインデータベースを発見したことを明らかにした。 　そのファイルには、Google、Microsoft、Apple、Facebook、Instagram、Snapchatなど、多数のアプリケーションやウェブサイトのユーザー名、パスワード、メール、URLが保存されていた。加えて、このデータベースには、銀行や金融機関の口座、医療プラットフォーム、政府ポータルの認証情報も含まれていた。 　問題は、そのファイルが暗号化されていなかった点である。パスワード保護などのセキュリティ対策もなかった。何百万もの機密データが、ただのプレーンテキストとして存在していたのだ。 　Fowler氏は、このデータはなんらかのインフォスティーラー型マルウェアによって取得されたものだと判断した。インフォスティーラーは、サイバー犯罪者がよく利用するツールであり、侵害されたサイトやサーバーからユーザー名やパスワードなどの機密データを盗むように設計されている。犯罪者はこのデータを手に入れると、それを利用して自身で攻撃を仕掛けたり、ダークウェブで情報を売買したりする。 　データベースを発見した後、Fowler氏はホスティングプロバイダーに連絡し、そのデータベースは公開アクセスから削除された。プロバイダーはファイル所有者の名前を明かさなかったため、同氏は、このデータベースが合法的に作成されたものが誤って公開されたのか、あるいは悪意のある目的で意図的に使用されたのかは分からないと述べている。 　情報が正確かどうかを確認するために、Fowler氏はファイルに記載されている多くの人々にメールを送り、データ侵害を調査していることを伝えた。その結果、何人かの人々が、記録に有効なアカウントのパスワードなどのデータが含まれていることを確認した。 　この事件の責任は、データベースとその公開に関与した人物（あるいは人々）にあることは明らかだが、ユーザーにもある程度の責任がある。 　Fowler氏は「多くの人々は、メールアカウントを無料のクラウドストレージのように無意識に扱い、税務書類、医療記録、契約書、パスワードなどの機密文書を何年分も保管しているが、それらの機密性について考慮していない」といい、「もし犯罪者が数千、あるいは数百万ものメールアカウントにアクセスできるようになれば、深刻なセキュリティおよびプライバシー上のリスクが生じる可能性がある」と指摘した。 　同氏のレポートでは、このような侵害によってデータ漏えいによって直面するさまざまな脅威が強調されている。 認証情報を使った攻撃：複数のアカウントで同じパスワードを使用している人は、危険にさらされやすい。ハッカーは自動化された認証情報入力スクリプトを展開し、何千もの異なるサイトでさまざまなメールとパスワードの組み合わせを試す。あるサイトで漏えいした同じパスワードは、他のサイトでも容易に漏えいする可能性がある アカウント乗っ取り：ユーザー名、パスワード、その他の個人情報を取得したサイバー犯罪者は、アカウントを乗っ取ることができる。彼らはユーザーの身元を盗み、金融詐欺を働き、家族、友人、その他の連絡先に対しても、他の種類の詐欺を働くことが可能になる ランサムウェアと企業スパイ：Fowler氏は漏えいしたデータの中に多くの企業認証情報を発見したと述べている。攻撃者はこの情報を悪用して企業の記録を盗んだり、ランサムウェア攻撃を仕掛けたり、企業スパイを働いたりできる 国家機関や政府機関に対する攻撃：Fowler氏は複数国の政府機関アカウントも確認した。この情報を持つ攻撃者は、国家や政府機関を標的にできる フィッシングとソーシャルエンジニアリング：漏えいしたメールは、サイバー犯罪者に個人の会話履歴や連絡先情報を提供する。その情報は、アカウント所有者だけでなく、その知人に対しても標的型フィッシング攻撃に利用される可能性がある この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。