見出し画像

あなたは大丈夫? 7億7,300万件のリークに巻き込まれてる話

追記:2019年11月27日(水)
6億2,200万件のリーク、Data Enrichment Exposure From PDL Customerもアナウンスされてしまいました。spamとの闘いは続く…
https://haveibeenpwned.com

先週後半、全世界を震撼させた過去最大のメールアドレスの漏洩「Collection #1」が起きました。残念ながら、私のドメインkotobato.jpがリストに含まれてしまっていたので、レポートしておきます。捨て石上等、明日は我が身!

何が起きたの?
膨大なメールアドレスとパスワード情報をまとめたリストが、インターネット上に流出したことが発覚しました。メールアドレスで、何と過去最大の7億7,300万件!大元のフォルダの名前を取って「Collection #1」と呼ばれることになります。
私が、オーストラリアのセキュリティー専門家Troy Hunt氏からの緊急警告をニュースサイトで知ったのが、日本時間で2019年1月17日(木)の朝でした。
自分のメールアドレスが流出してしまっているか、Hunt氏が運営するサービスHave I Been Pwned (HIBP)で確認しました。元々、このサービスに登録していたので、メールアドレスが流出した警告通知のメールも、当日の朝8:56に届いていました。そして、残念ながら、数少ない貴重な(?)jpドメインの一つにkotobato.jpが含まれてしまっていた訳です。

画像1

The 773 Million Record "Collection #1" Data Breach
https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Have I Been Pwned (HIBP)


まさか自分も同じ被害に遭ってる!?
今すぐ、上記のHIBPで自分のメールアドレスを入力し、漏洩していないかを確認することを強くお勧めします。メールアドレスは保存されず、チェックだけならアカウント登録等も必要ないのでご安心を。
なお、私が普段取っている主なセキュリティー対策については、これが長くなったので別のエントリーとしてまとめています。

パソコン使ってなくて、スマホやタブレットは大丈夫?
のー!そういう呑気なことではありません。インターネットを使っている人は、ほぼ全員、関係しています。

どんな被害に遭った?
一部のWebサービスに登録していたメールアドレスとパスワードが流出したようです。ただ、アカウントを乗っ取られたとか、情報を抜き取られたり、取引先にご迷惑を掛けてしまったということは、今のところありません。すでに使っていない、古い情報である可能性はあります。
とはいえ、昨年後半から『アカウントを乗っ取ったんで、仮想通貨で支払え!』『Japanで働きませんか?』など、それまで見慣れなかったspamが増えていたのは事実です。メールサーバーとメールアプリケーションのフィルタで処理できていますが、無駄なトラフィックは被害です。

応急処置は?
まず、すぐに状況を調べました。リークが事実であることと、自分が対象であることなどを把握しました。
次に、パスワード管理ユーティリティー1Passwordを確認しました。長年ずっと使っているこのツールは、HIBPとも連携しているので、不幸にしてリークしてしまったサービスを警告してくれます。今回、何もアラートは上がっていませんでしたが、念のため登録している一部のサービスの情報を更新し、Webブラウザーに記憶しているパスワードを消去、メールサーバーのspamフィルタも見直しました。

原因は?
どこかのWebサービスに登録したり、書き込んだ情報が漏れてしまい、過去から現在に至るまで、拡散し続けているのだと思います。一度流出してしまった情報は消去できないため、それがリストとしてまとめられたのだと考えられます。

リーク被害は初めて?
リーク被害を被ったことは、分かっているだけでも、今回を含めて11回あります。日付順では以下の通り。発覚次第すぐに、メールアドレスやパスワードを変更したり、すでにサービス登録を削除し、よりセキュアな状態に上書きを繰り返し続けています。
* MySpace(2008年頃)
* tumblr(2013年初め)
* Adobe(2013年10月)
* XSplit(2013年11月)
* Bitly(2014年5月)
* LinkedIn(2016年5月)
* Exploit.In(2016年末)
* Anti Public Combo List(2016年12月)
* 2,844 Separate Data Breaches(2018年2月)
* Apollo(2018年7月)
* Collection #1(2019年1月)★今回!

今後の対策は?
ここしばらくは、1PasswordとHIBPのアラート、メールなどを注意深くチェックしておくつもりです。

普段やっておくべきセキュリティー対策については、すでにまとめているのでまた後日!

(追記 2019年1月22日)
いろいろなところから問い合わせがあったので、補足しておきます。

Q.私が使ってるGmailは大丈夫なの?プロバイダーのメールは?ケータイのキャリアメールは?
A.それも、HIBPで調べてみてください。Gmailだから大丈夫とか、プロバイダーのメールは関係ないとか、そういうことではありません(日本のケータイのキャリアメールは、単に相手にされていない気が)。

Q.企業は関係ないよね?
A.平和な日常を過ごせているなら、ぜひ、システム部門に感謝してください。ちなみに、spamの踏み台にされている中小企業は増えてますよ。

Q.つまり、自分でちゃんと管理できてなかったって反省なの?
A.違います。私自身じゃなくて、私が使ったり登録していた(もう今は存在していないかもしれない)いろいろなサービス側から漏洩しているんです。それが、誰かの手によって、リストにまとめられてるわけです。

Q.もしかして防ぎようが無い?メールアドレス変えればいい?
A.無いでしょうね。変えても、結局はspamに補足され、まみれていきます。

Q.じゃあどうすればいいの!?
A.とにかく、セキュリティーについての正しい知識と具体的な手段を、常にアップデートし続けるしかありません。
メールアドレスがspamにまみれていくことについては、技術が革新されない限り、根本的な解決は無理だと思います。ただ、メールを使わなくなっても、またspamのようなテクノロジーによる上書きとせめぎ合いは永遠に続きます(トラフィックの8割以上はspamやフィッシングともいわれますし)。
なので、できることは限られています。しかし、何もできないわけではないので、諦めずに戦い続けましょう!

この記事が気に入ったらサポートをしてみませんか?