Danny Weber
研究者は、ログイン名、パスワード、認証URLを含む巨大な公開データベースを発見。infostealerのログなどから集められた可能性があります。
Cybernewsの研究者は、ネット上で公開状態になっていた巨大なデータベースを発見した。そこには約240億件のレコードが含まれていた。アーカイブにはログイン名、パスワード、認証ページのURLが入っており、しかもすべて平文で保存されていた。専門家は、このデータベースが複数のinfostealerのログや他の流出データから作られた可能性があるとみている。
Cybernewsが特に危険だと見るのは、この発見の規模だ。レコードの一部が重複しているとしても、乗っ取りのリスクにさらされるアカウントは数十億件規模にのぼる可能性がある。複数のサービスで同じパスワードを使い回し、多要素認証を有効にしていないユーザーはとくに危うい。
発見後、このデータベースはすぐに閉鎖されたため、研究者は完全な分析を行うことができなかった。それでも、データが少なくとも36の異なるソースから来ていたことは確認できた。そこにはTelegramチャンネル、過去の流出をまとめたコレクション、被害者の稼働中サーバーから直接エクスポートされたとみられるデータセットが含まれていた。
アーカイブ全体の容量は8 TBを超えていた。この種のデータセットとしては、これまで見つかった中でも最大級の一つとなる。Cybernewsはすべてのレコードの年代を正確には特定できなかったが、内部に2026年2月のニュース記事が含まれていたと指摘している。これは、データベースが古い放置されたdumpではなく、定期的に追加されていたコレクションだった可能性を示している。
データベースの所有者は不明のままだ。 コレクション内のTelegramソースの多くは英語だったが、一部はロシア語だった。研究者によると、約2億6000万件のレコードは、名前にDarksideという単語を含むチャンネルから来ていた。これはColonial Pipeline攻撃で知られ、現在は活動していないランサムウェアグループへの言及だ。
今回の発見は、元の侵害がかなり前に起きていたとしても、盗まれた認証情報が絶えず更新されるコレクションの中で生き続けることを改めて示している。ユーザーにとって実用的な結論は変わらない。サービスごとに異なるパスワード、パスワードマネージャー、多要素認証は、もはや追加の防御ではなく基本的な必需品だ。
© E. Vartanyan