FacebookやYahooのパスワード2500万件以上を含む100GB超えのデータがダークネットで取引されていることが判明

個人情報が流出しているかどうかをチェックできるサービス「Have I Been Pwned?」の設立者であるトロイ・ハント氏が、FacebookやYahooなどのパスワード2500万件以上を含む104GBものデータがダークウェブサイトで取引されていることを報告しています。
Troy Hunt: Inside the Massive Naz.API Credential Stuffing List
https://www.troyhunt.com/inside-the-massive-naz-api-credential-stuffing-list/

Researcher uncovers one of the biggest password dumps in recent history | Ars Technica
https://arstechnica.com/security/2024/01/71-million-passwords-for-facebook-coinbase-and-others-found-for-sale/
ハント氏によると、今回ダークウェブサイト上で発見されたデータは、319ファイル、合計104GBに上るとのこと。データの中には、7084万771件のメールアドレスや、2500万以件上のパスワードが含まれており、「Have I Been Pwned?」に登録している42万7308人ものユーザーが被害を受けたことが判明しました。また、「Have I Been Pwned?」でこれまで個人情報の流出が確認されなかったメールアドレスが約35％含まれることから、以前に流出したデータの使い回しではないことが明らかとなっています。

さらにハント氏は流出した個人情報の一部を取り上げ、FacebookやRoblox、Coinbase、Yammer、Yahooなどのログイン情報が流出していることを示しました。

これらの個人情報は、被害者のデバイスに侵入した「ログインページに入力されたすべてのユーザー名とパスワードをアップロードするマルウェア」によって流出したとされており、取引されるパスワードは暗号化しない「平文」で表示されていたとのことです。
また、ハント氏は「流出し、公開されているパスワードのほとんどが『辞書攻撃』の標的となりやすいワンパターンなものでした」と指摘しています。

さらに「複数のサービスで同じパスワードを使い回す場合や、まったくの別人が同じパスワードを使用している場合などで流出の危険性が高くなります。具体例として、飼っている犬の名前や生まれた年は人間と比べてバリエーションが少ないため、標的にされやすくなります」とハント氏は指摘しました。
このダークウェブサイトによると、個人情報の取得には、かつて別のサイトで配布された「Naz.API」と呼ばれる大規模データセットが用いられているとのこと。また、ハント氏は「取引されている認証情報の大部分は、過去に流出したアカウント認証情報を大量に収集する『アカウントハイジャック攻撃』の一種である『クレデンシャルスタッフィング攻撃』によるものです」と主張しています。
海外メディアのArs Technicaはアカウントを適切に保護するために「ランダムに生成されたパスワードやパスフレーズなどを用いる」「フィッシングサイトにパスワードを入力しない」「できる限り2要素認証やセキュリティキーなどを使用する」「パスワードレスのサインイン標準規格であるパスキーを使用する」ことを推奨しています。