2016年サイバーセキュリティ重大トピックス (9) 6800万、1億1700万、5億、10億! 感覚が麻痺するほど漏洩事件が発生した年

西方望

January 27, 2017 10:30
by 西方望

Dropboxからのメール

2016年の8月末、オンラインストレージサービスの老舗Dropboxから、妙なメールを受け取ったという人も多いだろう。かくいう筆者もその1人だ。そのメールは、2012年以降パスワードを変更していないユーザーは次回ログイン時にパスワードの変更を求められる、という内容のものだった。最初はフィッシングの類かもしれないとも思ったのだが、記載されているリンク先は間違いなくDropboxのサイトだ。リンク先での説明には「2012年に取得されたと思われる、過去のDropboxユーザー認証情報(メール アドレスと、ソルトを加えてハッシュ化したパスワード)の一部の存在が最近確認」とある。つまり2012年に流出した情報が今になって発見されたのでパスワードを変更してほしい、というお願いだ。

この流出事件自体は2012年当時に公表されている。その際は、一部のユーザーから「Dropboxでだけ使用しているメールアドレスにスパムが届くようになった」という報告を受け調査した結果、Dropboxの従業員用のドキュメントに対するパスワードが漏洩(おそらくパスワードの使い回しで)し、ユーザーのメールアドレスが盗まれた、と発表されていた。その具体的な数などには触れられていなかったが、単にメールアドレスが漏れただけのことでもあり、大規模な流出事案がいくつも起きていた中、この事件は小さく報じられただけであまり注目も受けずに忘れ去られてしまった。

ところが2016年8月の発表で、メールアドレスだけではなくパスワードハッシュも漏れていたことが明かされた。続いて報じられたのは、漏洩したのは実に6800万件にも上るユーザー情報であり、これがアンダーグラウンドで販売されていたという事実だ。Dropboxが2012年当時の事件を意図的に小さく発表していたのか、単にそれほどの規模だったと気づいていなかったのかはわからない。だが前者なら悪質、後者なら間抜けと言われても仕方ないだろう。いずれにせよ、情報流出事件の際の決まり文句、「流出した情報が悪用された事実は確認されていない」がいかに虚しい言葉であるかを改めて思い知らせてくれた事件だったとも言える。

5億件……10億件の情報漏洩

しかし2016年、過去に大規模な漏洩が発生していたのが今になって発覚した、というのはDropboxだけではなかった。口火を切ったのはビジネス向けSNSのLinkedInで、5月に明らかになったところによると、実に1億1700万人ぶんものメールアドレスとパスワードハッシュがアンダーグラウンドで売りに出されていたという。しかもソルトも使用していないSHA-1ハッシュであり(Dropboxはソルト付きで一部はSHA-1一部はbcrypt)、パスワードそのものが漏れたのと大差ない。LinkedInからデータが盗み出されたのもDropbox同様2012年のこと(当時は670万件とされていた)で、この事件を受けて調査した結果Dropboxからの流出が明らかになったのかもしれない。

そして、Dropboxの件が明らかになってしばらく後の9月、今度は米Yahoo!が実に5億件という史上最大規模の情報漏洩について発表した。これまたアンダーグラウンドで情報が売買されていたことから発覚し、さらに盗まれたのも2012年〜2014年ごろのことと思われるなど、LinkedInやDropboxの事件をなぞったかのようだ。ただし、流出した情報はメールアドレスやハッシュ化されたパスワードだけでなく電話番号や秘密の質問と答えなどが含まれ、より幅広い。だが何と言っても最大のインパクトはやはり5億件というその数だろう。しかし、5億で驚くのはまだ早かったのだ。

記憶されている方も多いだろう2016年12月、Yahoo!はなんと10億件以上の個人情報が流出していたと発表したのだ。それも、9月の件が10億に拡大したというわけではなく、別個に10億件の情報が盗まれていたという(こちらは2013年8月に盗まれたという)。9月の事件の際にYahoo!は国家支援ハッカーによる攻撃の可能性がある、と主張していたが、これには多くのセキュリティ関係者が疑義を呈した。国家支援ハッカーがアンダーグラウンドで情報を売るとは考えにくく、Yahoo!は自分たちのセキュリティの甘さに対する言い訳として高度な攻撃を受けたと言いたいのだろう、ということだが、全く別の大規模漏洩の事実はその推測を裏付けた形だ。

漏洩データ数が多すぎる

正直言って、情報漏洩事件の類にはもうほとんど衝撃は感じられない。本来軽視してよい問題ではないのだが、あまりに多すぎるのだ。しかしそれでも、さすがに10億と言われると度肝を抜かれる。もっともこの数字のどれだけが実際に使われているアカウントなのかは不明だ。全く、あるいはほとんど使用されていないアカウントや、スパムアカウントや、いわゆる「捨て垢」なども多量に含まれているはずで、こういったものは漏洩しても誰も痛くも痒くもない。従って漏洩事件は単に数だけでなく質も論じられるべきなのだが、Yahoo!アカウント10億件の漏洩は大きなニュースになっても、例えば質的にはずっと重大なフィリピンの有権者情報5500万件の漏洩は、同じ2016年の事件でも日本に限らず欧米でも大した話題にはならなかった。

しかし2016年の重大ニュースとしてフィリピンの漏洩ではなくこちらを選んだのは、やはりLinkedIn、Dropbox、Yahoo!と連続して過去の大規模流出が明らかになったというのがポイントだ。先ほどもLinkedInの漏洩を受けて調査した結果明らかになったのかも、という推測を述べたが、だとすると他の企業もさらに調査を進めることにより、今年もまた過去の大規模流出が掘り起こされるかもしれない。それでもさすがに10億件はもうないだろうが。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…