[ハッキングニュース]あなたのメールアドレスも漏れている 「50億件」流出の衝撃

Author
Park John
Date
2018-03-19 07:19
Views
397

若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。

【詳細な図や写真】「haveibeenpwned」にとあるメールアドレスを入力した例





●一部で把握できている漏えいアドレスだけで「50億件」

「haveibeenpwned」というサイトがあるのをご存じだろうか。マイクロソフトのリージョナルダイレクターであり、セキュリティスペシャリストのTroy Hunt氏が運営するサイトで、メールアドレスを入力すると、過去の重大漏えい事件などで流出したアカウント情報データベースをサーチして記載(=漏れている)の有無を教えてくれる。


上記画像の例でいえば、DropboxとForbesのサイトが攻撃されたときに流出したデータに、入力したメールアドレスが含まれていたということになる。また、同サイトの情報(3月13日現在)によれば、検索対象は、情報漏えいを起こした271のサイト、4,949,099,146個のアカウントとなっている。簡単にいえば、なんらかのインシデントで流出したアカウントのうち、同社が管理するデータベースに保存されているものが50億近くあるということだ。

ただし、自分のアドレスが漏えいしていることがわかったからといって、慌てても仕方ない。というのは、とりあえずパスワードを変えるくらいしか利用者側にできることはないからだ。

もちろん、メールアドレスが漏れていることは軽い問題ではないが、ネット上に流出したデータを消すことは(ほぼ)不可能だ。PCやスマートフォンの脆弱性をなくし、メールのフィルターを強化するなどの対策を考えるほうが現実的だ。

●漏えい前提で考えるアカウント情報

なお、haveibeenpwnedが把握しているだけでも50億件もの漏えいしたアドレスがあれば、自分のメールアドレスが含まれていてもなんら不思議はない。インターネットでもうまく検索すれば、攻撃者が使っているアドレスリストにたどり着くこともできる。

例えば「pastebin」のようなサイトは、しばしば攻撃者どうしのアドレスリスト交換に利用されることがある。ハッカーが自分の成果を誇示するために、盗み出したアカウント情報をSNSやブログ、Webサイトに公開する場合もある。「ダークウェブ」(通常のブラウザーではアクセスできないWebコンテンツ)ならば当然、そのようなデータが飛び交っているわけだ。メールアドレスはそういう前提で考える必要がある。

問題は、漏えいした情報がどれほど危険な状態にあるか、実際の攻撃に利用されているかどうかだ。haveibeenpwnedの情報では、漏えいが発生した時期も記載されている。すでにそのサービスアカウントのパスワードを変更したか、退会していれば、関連するスパムや不審なメールが増えていないかで、実際の危険度を判断する。

漏えいが直近で、関連していそうなスパムや不審アクセスが増えているなら、そのサイトやサービスの運営に問い合わせしてもいいだろう。ただし、そのスパムや不審アクセスがこの漏えいによるものかの特定は難しい。直接的な対策はとりにくいので、注意しながらセキュリティ対策を強化・再確認するしかない。

危険度の評価が難しい場合、セキュリティベンダーなどに相談してもよい。漏えいしたメールアドレスの危険度を評価してくれるサービスも存在する。




●従業員のアドレスが漏れていた場合、企業はどう対応すればよいか

企業は、従業員のメールアドレスや内部文書などが外部に漏れていた場合、どう対処すればいいだろうか。

まず、そのような情報漏えいの有無を把握しなければならないが、これは意外と面倒だ。前述のようなサイトで個別にチェックすることは、人数が多ければ現実ではない。外部にアドレスが漏れていないかチェックしてくれるサービスがあるので、気になる場合は、適当なタイミングで調べてもらうしかないだろう。

このとき、単に漏えいの有無だけではなく(有無だけならおそらく全員漏れていている)、危険度の評価(パスワードも漏れている、複数にリストされている、可能ならそのアドレスに対するスパムや不審メールの数)を合わせてできるところに依頼すべきだ。

社内秘の書類や一般に公開していない組織図、営業資料などが流出している場合もある。ハッカーやハクティビストがあえて公開するのでなければ、発見は困難だ。これも専門家や専門部署に依頼して、モニタリングやサーチを実施する。最近では、インターネットから(IPアドレスで)アクセスできるWebカメラ、プリンター、制御システムが問題になる。ShodanやInsecamのようなサイトを利用して自社管理のIPアドレスを検索するか、やはり専門家に解析を依頼する。

●ポルシェジャパンの漏えいはポルシェAGが発見した

大企業ならば、社内SOCや専門チームが、そのようなモニタリングを行うところもある。2月にポルシェジャパンのサイトがハッキングされ、顧客情報が漏えいしたという発表があったが、これを発見したのはポルシェAG(ドイツ本社)だ。詳細は明らかにされていないが、おそらくポルシェグループは、本社がグローバル拠点を含めた漏えい情報のモニタリングを実施している可能性が高い。

ポルシェのような体制は、通常の企業にはとりにくいかもしれないが、ログ・トラフィック監視をすり抜けた漏えい(USBメモリなどで持ち出されたら検知が困難な場合がある)の検知には、ツール利用やSOCによるモニタリングや調査といった「外部対策」が必要かもしれない。




フリーランスライター 中尾真二