大規模なデータ侵害で1億8400万件以上のパスワードが流出 ― Apple、Google、Microsoftなど

サイバーセキュリティ研究者のジェレミア・ファウラー氏は、パスワードや暗号化を必要とせず、プレーンテキストファイルに保存された何百万もの機密データを含む、保護されていない大規模なオンラインデータベースを発見したという報告書を発表した。

ZDNetによると、ファウラー氏が発見した1億8400万件の固有のアカウント認証情報には、Google、Microsoft、Apple、Facebook、Instagram、Snapchatなどのアプリやウェブサイトのユーザー名、パスワード、電子メール、URLなどが含まれている。

おそらくもっと懸念されるのは、データベース内のさらに機密性の高い情報、具体的には、銀行や金融口座、健康プラットフォーム、政府ポータルの認証情報です。

ファウラー氏の分析により、このデータは何らかのインフォスティーラーによって取得されたことが判明しており、これは、漏洩した個人および関連するアカウントが、フィッシング攻撃などの脅威アクターによるさらなる詐欺や悪意のある行為に対して脆弱になることを意味します。

ファウラー氏は、ホスティングプロバイダーがデータベースを一般アクセスから削除したものの、所有者の名前を明かさなかったため、このデータベースがそもそも合法的に作成されたのか悪意を持って作成されたのかは分からないと述べている。

ファウラー氏はファイルに記載されている人々に直接連絡を取り、データ侵害を調査していることを伝え、データベースに含まれる情報は正確で有効なアカウント情報であることを確認した。

さらに、データベースの所有者が誰であれこの事件の責任を負うべきであるが、電子メールアカウントを無料のクラウドストレージのように扱うユーザーは、何年分もの納税申告書、医療記録、契約書、パスワードなどの機密文書を、電子メールアカウントにアクセスできるサイバー犯罪者に容易に入手できる状態にして、セキュリティとプライバシーのリスクにさらされることになる、と彼は述べた。

安全を保つ方法

この種のセキュリティ侵害に関与した人は、特に同じパスワードを再利用していたり​​、弱いパスワードを使用していたり​​、政府やその他の重要な地位のアカウントを保有していたり​​する場合は、さまざまなさらなる脅威にさらされます。

Fowler氏と同様に、大文字と小文字、数字、特殊文字を複数組み合わせた強力で固有のパスワードを常に使用し、頻繁に変更・更新し、同じパスワードを再利用しないことを推奨します。パスワードマネージャーを使用してすべてのパスワードを秘密かつ安全に保つのが最も簡単な方法です。可能であれば、生体認証パスキーを使用するのも効果的です。可能な限り、アカウントで2要素認証または多要素認証を有効にしてください。

すべてのアカウントを注意深く監視し、データ漏洩の被害に遭った可能性がある、あるいは被害に遭ったと確信している場合は、HaveIBeenPwnedやパスワード漏洩チェッカーなどのサイトでアカウントを確認してください。また、ウイルス対策ソフトウェアがコンピューターを定期的にスキャンするように設定されていることを確認してください。これらのスキャンは、就寝時やコンピューターを使用していないときに自動的に実行されるように設定することで、邪魔されることなく作業を進めることができます。

最後に、フィッシング詐欺やソーシャル エンジニアリング攻撃の兆候を知っておくことで、これらに警戒することができます。マルウェアに関しては、常にあなたが最後の防衛線であり、脅威の攻撃者は、持っているすべての情報を利用して、あなたを騙してリンクをクリックさせたり、一見正当なものの、実は悪意のあるコードであるアプリやソフトウェアをダウンロードさせようとします。

予期せぬリンク、QRコード、添付ファイル、または不明な送信者からのリンクや添付ファイルは絶対にクリックしないでください。ダウンロードやクリックを促されたり、何かをダウンロードしたりするよう求められた場合は、必ず第三者の手段で確認してください。オンラインで知らない人と個人情報を共有しないでください。また、個人情報が含まれている可能性のある古いメールや写真をアカウントから削除してください。

Tom's Guideのその他の記事

• この新しいDefendnotトロイの木馬は、Windowsに独自のウイルス対策ソフトウェアを無効にさせることができる。
• Windows 11 にはウイルス対策ソフトウェアが必要ですか?
• Googleは、アカウント乗っ取りに悪用される可能性のある深刻なChromeの脆弱性を修正しました。今すぐアップデートしてください。