メルアドとパスワードの組み合わせ約27億行近く流出、古いものが大半

電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事、KrebsOnSecurityの記事、Ars Technicaの記事、Mashableの記事)。

Have I Been Pwned?のToy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。
ルートフォルダーの名前から「Collection #1」と呼ばれるこのデータは12,000件以上のファイルを含み、サイズは87GB以上におよぶ。しかし、KrebsOnSecurityによれば、Collection #1はダークウェブで取引されているデータの一部分なのだという。KrebsOnSecurityはCollection #1を含むデータを販売する人物にTelegramで連絡を取り、データは合計で4TB以上との回答を得ている。Collection #1は少なくとも2～3年前のデータだが、4TBの中には1年以内のデータも含まれるとのこと。

一方、Hold SecurityのAlex Holden氏がKrebsOnSecurityに伝えたところによると、Collection #1は数年前にダークウェブのさまざまなフォーラムで流通していたそうだ。複数の情報流出をまとめた古いデータが中心であり、一般ユーザーが直接危険にさらされるようなものではないという。Hold SecurityではCollection #1に含まれるデータの99%を別のソースから既に得ていたとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 情報漏洩

　関連ストーリー：
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 2017年11月26日