あなたは大丈夫？ 7億7,300万件のリークに巻き込まれてる話

追記：2019年11月27日（水）
6億2,200万件のリーク、Data Enrichment Exposure From PDL Customerもアナウンスされてしまいました。spamとの闘いは続く…
https://haveibeenpwned.com

先週後半、全世界を震撼させた過去最大のメールアドレスの漏洩「Collection #1」が起きました。残念ながら、私のドメインkotobato.jpがリストに含まれてしまっていたので、レポートしておきます。捨て石上等、明日は我が身！

何が起きたの？
膨大なメールアドレスとパスワード情報をまとめたリストが、インターネット上に流出したことが発覚しました。メールアドレスで、何と過去最大の7億7,300万件！大元のフォルダの名前を取って「Collection #1」と呼ばれることになります。
私が、オーストラリアのセキュリティー専門家Troy Hunt氏からの緊急警告をニュースサイトで知ったのが、日本時間で2019年1月17日（木）の朝でした。
自分のメールアドレスが流出してしまっているか、Hunt氏が運営するサービスHave I Been Pwned (HIBP)で確認しました。元々、このサービスに登録していたので、メールアドレスが流出した警告通知のメールも、当日の朝8:56に届いていました。そして、残念ながら、数少ない貴重な（？）jpドメインの一つにkotobato.jpが含まれてしまっていた訳です。

The 773 Million Record "Collection #1" Data Breach
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Have I Been Pwned (HIBP)

Have I Been Pwned: Check if your email has been compromised in a data breach

まさか自分も同じ被害に遭ってる！？
今すぐ、上記のHIBPで自分のメールアドレスを入力し、漏洩していないかを確認することを強くお勧めします。メールアドレスは保存されず、チェックだけならアカウント登録等も必要ないのでご安心を。
なお、私が普段取っている主なセキュリティー対策については、これが長くなったので別のエントリーとしてまとめています。

パソコン使ってなくて、スマホやタブレットは大丈夫？
のー！そういう呑気なことではありません。インターネットを使っている人は、ほぼ全員、関係しています。

どんな被害に遭った？
一部のWebサービスに登録していたメールアドレスとパスワードが流出したようです。ただ、アカウントを乗っ取られたとか、情報を抜き取られたり、取引先にご迷惑を掛けてしまったということは、今のところありません。すでに使っていない、古い情報である可能性はあります。
とはいえ、昨年後半から『アカウントを乗っ取ったんで、仮想通貨で支払え！』『Japanで働きませんか？』など、それまで見慣れなかったspamが増えていたのは事実です。メールサーバーとメールアプリケーションのフィルタで処理できていますが、無駄なトラフィックは被害です。

応急処置は？
まず、すぐに状況を調べました。リークが事実であることと、自分が対象であることなどを把握しました。
次に、パスワード管理ユーティリティー1Passwordを確認しました。長年ずっと使っているこのツールは、HIBPとも連携しているので、不幸にしてリークしてしまったサービスを警告してくれます。今回、何もアラートは上がっていませんでしたが、念のため登録している一部のサービスの情報を更新し、Webブラウザーに記憶しているパスワードを消去、メールサーバーのspamフィルタも見直しました。

原因は？
どこかのWebサービスに登録したり、書き込んだ情報が漏れてしまい、過去から現在に至るまで、拡散し続けているのだと思います。一度流出してしまった情報は消去できないため、それがリストとしてまとめられたのだと考えられます。

リーク被害は初めて？
リーク被害を被ったことは、分かっているだけでも、今回を含めて11回あります。日付順では以下の通り。発覚次第すぐに、メールアドレスやパスワードを変更したり、すでにサービス登録を削除し、よりセキュアな状態に上書きを繰り返し続けています。
* MySpace（2008年頃）
* tumblr（2013年初め）
* Adobe（2013年10月）
* XSplit（2013年11月）
* Bitly（2014年5月）
* LinkedIn（2016年5月）
* Exploit.In（2016年末）
* Anti Public Combo List（2016年12月）
* 2,844 Separate Data Breaches（2018年2月）
* Apollo（2018年7月）
* Collection #1（2019年1月）★今回！

今後の対策は？
ここしばらくは、1PasswordとHIBPのアラート、メールなどを注意深くチェックしておくつもりです。

普段やっておくべきセキュリティー対策については、すでにまとめているのでまた後日！

（追記 2019年1月22日）
いろいろなところから問い合わせがあったので、補足しておきます。

Q.私が使ってるGmailは大丈夫なの？プロバイダーのメールは？ケータイのキャリアメールは？
A.それも、HIBPで調べてみてください。Gmailだから大丈夫とか、プロバイダーのメールは関係ないとか、そういうことではありません（日本のケータイのキャリアメールは、単に相手にされていない気が）。

Q.企業は関係ないよね？
A.平和な日常を過ごせているなら、ぜひ、システム部門に感謝してください。ちなみに、spamの踏み台にされている中小企業は増えてますよ。

Q.つまり、自分でちゃんと管理できてなかったって反省なの？
A.違います。私自身じゃなくて、私が使ったり登録していた（もう今は存在していないかもしれない）いろいろなサービス側から漏洩しているんです。それが、誰かの手によって、リストにまとめられてるわけです。

Q.もしかして防ぎようが無い？メールアドレス変えればいい？
A.無いでしょうね。変えても、結局はspamに補足され、まみれていきます。

Q.じゃあどうすればいいの！？
A.とにかく、セキュリティーについての正しい知識と具体的な手段を、常にアップデートし続けるしかありません。
メールアドレスがspamにまみれていくことについては、技術が革新されない限り、根本的な解決は無理だと思います。ただ、メールを使わなくなっても、またspamのようなテクノロジーによる上書きとせめぎ合いは永遠に続きます（トラフィックの8割以上はspamやフィッシングともいわれますし）。
なので、できることは限られています。しかし、何もできないわけではないので、諦めずに戦い続けましょう！