アップル、グーグル、フェイスブックなどの大手オンラインサービスのログイン情報を含む160億件超の大量データが流出したことが分かった。仮想通貨保有者にも深刻な影響を及ぼす恐れがある。
20日に公開されたレポートによると、サイバーニュースの調査チームは「数千万件から35億件超の記録を含む30の流出データセット」を調査。その合計は「驚異的な160億件のログイン資格情報」に達したという。
「このうち過去に検知済みのデータセットは1件のみで、その1件も1億8400万件の記録が含まれた『謎のデータベース』だった」とレポートは記している。データベースの平均件数は5億5000万件、最も少ないものでも1600万件超が含まれていた。
サイバーニュースは、この情報が「新たな大規模な悪用の土台」となる恐れがあると警告。「武器化可能な新鮮なインテリジェンスがスケールで手に入った」と指摘した。多くのデータは、セキュリティ設定のされていないエラスティックサーチインスタンスやオブジェクトストレージから流出したものとみられる。
主要サービスが軒並み被害
サイバーニュースは、今回のデータによって「アップル、フェイスブック、グーグルのほか、GitHub、テレグラム、各国政府のオンラインサービスに至るまで、ほぼあらゆるオンラインサービスへのアクセスが可能になる」と述べている。また、情報窃取型マルウェアによるデータ(トークン、クッキー、メタデータなど)も含まれており、多要素認証を導入していない組織にとっては特に危険だという。
データの元の所有者は不明だが、「流出したデータの一部はサイバー犯罪者が保持していたものである可能性が極めて高い」としている。
仮想通貨業界への影響
今回の流出は、仮想通貨業界にも深刻な余波をもたらす可能性がある。セキュリティ専門家は、流出した情報を用いたアカウント乗っ取りが多発すると見ており、特にカストディアルウォレットやメール認証に紐づくプラットフォームが狙われやすいという。
また、いくつかのウォレットでは、クラウドサービス上に保存されたパスワードベースのシードフレーズを用いたバックアップを採用しているため、攻撃者が秘密鍵にアクセスできてしまう可能性もある。
攻撃の規模や成功の程度によっては、仮想通貨取引所がユーザーに対しパスワード変更を求めたり、資産流出を防ぐためにより抜本的な対策を取ったりすることも考えられる。
この流出は、パスワードの使い回しや脆弱な認証慣行といった、業界における根強い問題を改めて浮き彫りにした。仮想通貨ユーザーは直ちにパスワードを更新し、2段階認証(2FA)を有効化するとともに、リカバリーフレーズを安全でないデジタル環境に保存しないよう注意する必要がある。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
