2016年サイバーセキュリティ重大トピックス (9) 6800万、1億1700万、5億、10億! 感覚が麻痺するほど漏洩事件が発生した年

西方望

January 27, 2017 10:30
by 西方望

Dropboxからのメール

2016年の8月末、オンラインストレージサービスの老舗Dropboxから、妙なメールを受け取ったという人も多いだろう。かくいう筆者もその1人だ。そのメールは、2012年以降パスワードを変更していないユーザーは次回ログイン時にパスワードの変更を求められる、という内容のものだった。最初はフィッシングの類かもしれないとも思ったのだが、記載されているリンク先は間違いなくDropboxのサイトだ。リンク先での説明には「2012年に取得されたと思われる、過去のDropboxユーザー認証情報(メール アドレスと、ソルトを加えてハッシュ化したパスワード)の一部の存在が最近確認」とある。つまり2012年に流出した情報が今になって発見されたのでパスワードを変更してほしい、というお願いだ。

この流出事件自体は2012年当時に公表されている。その際は、一部のユーザーから「Dropboxでだけ使用しているメールアドレスにスパムが届くようになった」という報告を受け調査した結果、Dropboxの従業員用のドキュメントに対するパスワードが漏洩(おそらくパスワードの使い回しで)し、ユーザーのメールアドレスが盗まれた、と発表されていた。その具体的な数などには触れられていなかったが、単にメールアドレスが漏れただけのことでもあり、大規模な流出事案がいくつも起きていた中、この事件は小さく報じられただけであまり注目も受けずに忘れ去られてしまった。

ところが2016年8月の発表で、メールアドレスだけではなくパスワードハッシュも漏れていたことが明かされた。続いて報じられたのは、漏洩したのは実に6800万件にも上るユーザー情報であり、これがアンダーグラウンドで販売されていたという事実だ。Dropboxが2012年当時の事件を意図的に小さく発表していたのか、単にそれほどの規模だったと気づいていなかったのかはわからない。だが前者なら悪質、後者なら間抜けと言われても仕方ないだろう。いずれにせよ、情報流出事件の際の決まり文句、「流出した情報が悪用された事実は確認されていない」がいかに虚しい言葉であるかを改めて思い知らせてくれた事件だったとも言える。

5億件……10億件の情報漏洩

しかし2016年、過去に大規模な漏洩が発生していたのが今になって発覚した、というのはDropboxだけではなかった。口火を切ったのはビジネス向けSNSのLinkedInで、5月に明らかになったところによると、実に1億1700万人ぶんものメールアドレスとパスワードハッシュがアンダーグラウンドで売りに出されていたという。しかもソルトも使用していないSHA-1ハッシュであり(Dropboxはソルト付きで一部はSHA-1一部はbcrypt)、パスワードそのものが漏れたのと大差ない。LinkedInからデータが盗み出されたのもDropbox同様2012年のこと(当時は670万件とされていた)で、この事件を受けて調査した結果Dropboxからの流出が明らかになったのかもしれない。

そして、Dropboxの件が明らかになってしばらく後の9月、今度は米Yahoo!が実に5億件という史上最大規模の情報漏洩について発表した。これまたアンダーグラウンドで情報が売買されていたことから発覚し、さらに盗まれたのも2012年〜2014年ごろのことと思われるなど、LinkedInやDropboxの事件をなぞったかのようだ。ただし、流出した情報はメールアドレスやハッシュ化されたパスワードだけでなく電話番号や秘密の質問と答えなどが含まれ、より幅広い。だが何と言っても最大のインパクトはやはり5億件というその数だろう。しかし、5億で驚くのはまだ早かったのだ。

記憶されている方も多いだろう2016年12月、Yahoo!はなんと10億件以上の個人情報が流出していたと発表したのだ。それも、9月の件が10億に拡大したというわけではなく、別個に10億件の情報が盗まれていたという(こちらは2013年8月に盗まれたという)。9月の事件の際にYahoo!は国家支援ハッカーによる攻撃の可能性がある、と主張していたが、これには多くのセキュリティ関係者が疑義を呈した。国家支援ハッカーがアンダーグラウンドで情報を売るとは考えにくく、Yahoo!は自分たちのセキュリティの甘さに対する言い訳として高度な攻撃を受けたと言いたいのだろう、ということだが、全く別の大規模漏洩の事実はその推測を裏付けた形だ。

漏洩データ数が多すぎる

正直言って、情報漏洩事件の類にはもうほとんど衝撃は感じられない。本来軽視してよい問題ではないのだが、あまりに多すぎるのだ。しかしそれでも、さすがに10億と言われると度肝を抜かれる。もっともこの数字のどれだけが実際に使われているアカウントなのかは不明だ。全く、あるいはほとんど使用されていないアカウントや、スパムアカウントや、いわゆる「捨て垢」なども多量に含まれているはずで、こういったものは漏洩しても誰も痛くも痒くもない。従って漏洩事件は単に数だけでなく質も論じられるべきなのだが、Yahoo!アカウント10億件の漏洩は大きなニュースになっても、例えば質的にはずっと重大なフィリピンの有権者情報5500万件の漏洩は、同じ2016年の事件でも日本に限らず欧米でも大した話題にはならなかった。

しかし2016年の重大ニュースとしてフィリピンの漏洩ではなくこちらを選んだのは、やはりLinkedIn、Dropbox、Yahoo!と連続して過去の大規模流出が明らかになったというのがポイントだ。先ほどもLinkedInの漏洩を受けて調査した結果明らかになったのかも、という推測を述べたが、だとすると他の企業もさらに調査を進めることにより、今年もまた過去の大規模流出が掘り起こされるかもしれない。それでもさすがに10億件はもうないだろうが。




ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…