2019年1月にセキュリティー専門家であるトロイ・ハント(Troy Hunt)氏が、「Collection #1」と呼ぶ大量のメールアドレスとパスワードの組み合わせをインターネット上で発見したと発表しました(図1)。流出したデータを入手して確認したところ、Webサービスのユーザー認証に使うアカウント情報、いわゆるクレデンシャル情報のようです。アカウント情報はおよそ21億件、データサイズは約89Gバイトもありました。

図1●次々と見つかるメールアドレスとパスワードの組み合わせ
2017年の後半以降、メールアドレスとパスワードの組み合わせがインターネット上で大量に見つかっている。データの多くは、Webサービスから漏洩したものとみられ、サービスのURLごとのテキストファイルなどに分類されている。
[画像のクリックで拡大表示]

 またCollection #1が見つかったオンラインストレージサービスには、Collection #2からCollection #5までの4つのデータと、AntiPubというデータが一緒に保存されていました。これらのデータにもアカウント情報が含まれていました。

 こういったデータが2017年の後半以降、インターネット上で相次いで見つかっています。件数が数十億件と多いため、発見のニュースが流れるたびに恐怖を感じる人もいるでしょう。しかし、本当に恐れるようなデータなのでしょうか。今回は流出データを調査しました。

流出データの解析を依頼

 調査の対象は、2017年9月と2018年2月に見つかった合計16億件のデータです。

 まず、このデータに含まれるメールアドレスとパスワードとの組み合わせを、メールアドレスのドメインごとに分類しました。例えば、「xxx@example.co.jp」と「yyy@example.co.jp」といったexample.co.jpドメインのデータをひとまとめにしました。

 そしてそのドメインを所有する企業など複数の組織に、データの解析を依頼しました。

 データの解析は、次の3段階で実施しました。1段階目は、重複データの排除です。様々なサービスから漏洩したと思われる流出データなので、全く同じメールアドレスとパスワードを設定しているケース、つまり使い回しているケースがあると考えられます。そういったデータを1つにします。

 2段階目は、解析時点で登録のないメールアドレスの排除です。既に在籍していなかったり、でたらめだったりしたデータを削除します。

 最後の3段階目は流出データを使って、依頼した組織で使っている認証(メールサービスへのログインなど)をパスできるかどうかを確認します。こうしてどれだけのデータが有効なのかを確認しました。

4万件が認証をパス

 解析を依頼したデータは合計で934万4404件です。全体の分量からするとあまり多くありませんが、データの傾向を見る上では十分な量だと考えています。

 各組織から集めた解析結果を図2に示します。

図2●16億件のデータを使った解析結果
流出データからわずか0.4%しかログインできないことが分かった。この数値は、他サービスから漏洩したデータを使って不正ログインを仕掛けるパスワードリスト攻撃の成功率と大きな差はない。
[画像のクリックで拡大表示]

 1段階目の重複データの排除で、512万7659件に絞り込まれました。データ全体の55%です。

 2段階目の登録されていないデータの排除で、364万7770件に絞り込まれました。この時点で全体の39%まで減っています。

 最後の段階で、認証をパスできないデータを排除すると、残ったデータは3万9606件でした。全体の0.4%しか残っていません。

 過去のパスワードリスト攻撃の被害組織が公開した攻撃内容から算出した不正ログインの成功率は0.数%です。今回の調査結果と大差がないことが分かりました。

▼パスワードリスト攻撃
別のサービスから漏洩したアカウント情報を使って不正ログインを試みる攻撃。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら