CyberNews のセキュリティ専門家は、これまでで最大規模のユーザーデータ漏洩事件の1つを発見しました。この事件では、99億4800万のオンラインアカウントのログインパスワードを含むデータベースが、ハッカー向けの有名なフォーラムに公開されました。
このデータファイルは「rockyou2024.txt」と呼ばれ、7月4日に「ObamaCare」というフォーラムユーザーによってオンラインにアップロードされました。
ハッカー向けのフォーラムに公開された、約100億のオンラインログインパスワードを含むデータ(スクリーンショット)。
CyberNews のセキュリティ専門家は、テキストファイル「rockyou2024.txt」内のパスワードを、以前のパスワード漏洩事件からのデータベースと照合した結果、公開されたパスワードは、以前のデータ漏洩事件と最近のデータ漏洩事件からのパスワードの組み合わせであり、中にはこれまで公開されたことのないアカウントのパスワードも含まれていることがわかりました。
「実際、データファイル「rockyou2024」は、世界中のユーザーが使用しているパスワードの集まりです。このような大量のログインパスワードが公開されたことで、認証情報詰め込み攻撃のリスクが大幅に高まりました。」と、CyberNews のセキュリティ専門家は述べています。
認証情報詰め込み攻撃は、ログインパスワードの再利用や、複数のアカウントで同じパスワードを使用しているユーザーや企業にとって深刻な脅威となる可能性があります。
例えば、ユーザーが複数のアカウントで同じパスワードを使用している場合、ハッカーは漏洩したデータ内のパスワード情報を使用して、ユーザーの他のアカウントへの攻撃を試みることができ、アカウントに侵入する可能性があります。
「ハッカーは、パスワードの集まり「rockyou2024」を利用して、パスワードの推測攻撃を実行し、複数のオンラインアカウントへの不正アクセスを行う可能性があります。これは、ユーザーが複数のアカウントで同じパスワードを使用している場合に起こりえます。」と、CyberNews は付け加えています。
注目すべきは、オンラインに公開された「rockyou」という名前の、数十億のアカウントログイン情報を含むデータベースが発見されたのはこれが初めてではないということです。3年前、別のハッカーが「rockyou2021」という名前のテキストファイルを公開し、84億のオンラインアカウントのログインパスワードが含まれていました。
2009年には、「rockyou2009」というファイルがオンラインに公開され、数十万のオンラインアカウントのログイン情報が含まれていました。
CyberNews は、「rockyou」ファイルの作成者は、ログイン情報を盗むためにサイバー攻撃を行うハッカーではなく、データ漏洩事件からログイン情報を収集し、それらを1つのファイルにまとめたものだと考えています。
ユーザーは何をすべきか?
現在、セキュリティ専門家は、このデータベースの背後にいる人物はまだ特定できていませんが、これはこれまでで最大規模のデータ漏洩事件の1つです。
自分のログインパスワードが漏洩しているのではないかと懸念がある場合は、
https://cybernews.com/password-leak-check/
にアクセスし、使用しているパスワードを入力して、「Check Now」ボタンをクリックしてください。
CyberNews は、ユーザーが入力したパスワードを「rockyou2024」ファイル内のデータと照合し、ユーザーのパスワードが漏洩しているかどうかを確認します。
注意:CyberNews のチェック枠にパスワードを入力しても安心してください。このウェブサイトは、ユーザーのオンラインアカウントのログイン名を知ることはできません。そのため、このウェブサイトがパスワードを知っていても、無意味です。
パスワードが安全で、上記の約100億のアカウントの漏洩データに含まれていないことを示すメッセージ(スクリーンショット)。
パスワードが「rockyou2024」データファイルに含まれている場合は、まず、オンラインアカウントのパスワードをすぐに変更し、次に、セキュリティの強化のために、2段階認証を有効化してください(サポートされている場合)。
また、ユーザーは、オンラインアカウントのパスワードを6か月ごとに定期的に変更する習慣をつけ、複数のオンラインアカウントで同じパスワードを使用しないようにする必要があります。
