IMAGE BY ALYSSA FOOTE

ハッカーたちはここ数年、オンラインストレージのDropboxから約7,100万、LinkedInからは約1億1,700万のパスワードを盗んだ。こうしたハッカーたちには少なくとも、不正入手したデータをこっそり悪用するとか、ダークウェブ上で大金で売り渡す程度にとどめておくような奥ゆかしさがあった。

だが最近になって、これらのハッキングされたデータベースをつなぎ合わせ、22億件ものユーザー名とパスワードを集めた前例のない巨大なコレクションがつくられたことが判明した。しかもハッカーのフォーラムや、torrentを利用したP2Pのファイル共有サイトで無料配布されているというのだ。全人類のかなりの部分の個人情報を、あたかも去年の電話帳であるかのように投げ捨てていることになる。

セキュリティ研究者のトロイ・ハントが19年1月に、匿名の人物が作成した「Collection#1」というデータの一部を初めて突きとめた。ハントによれば、これはハッキングで得られたデータベースをつなぎ合わせたもので、7億7,300万件のユーザー名とパスワードを含んでいる。

その後、ほかの研究者たちも「Collections #2–5」という別の巨大なデータベースを取得し、分析した。Collections#2–5には、合わせて845ギガバイトの盗まれたデータと、250億件の記録が入っていた。ドイツのポツダムにあるハッソ・プラットナー・インスティテュートのアナリストたちによると、Collections #2–5に収録されているデータの数は、重複分を除いてもCollection#1の約3倍にもなるという。

内容はともかく、規模がすごい

「盗まれたデータのコレクションとしては過去最大です」と、セキュリティ企業フォスフォラス（Phosphorus Cybersecurity）の創業者であるクリス・ルーランドは言う。ルーランドは最近、共有サイトのデータからCollections #1–5を手に入れた。このコレクションはすでに、ハッカーたちの間で密かに広く出回っているのだという。

ルーランドがダウンロードしたファイルは130人を超える人たちによって共有され、ダウンロード回数が1,000回を超えていたことがわかった。「前例のない大量の情報と認証データであり、それらはやがてパブリックドメインのようになっていくことになります」とルーランドは言う。

ドイツのニュースサイト「Heise.de」が最初に報じたように、このデータは考えられないほど大量である。だが、ほとんどの出どころは「かつてのデータ泥棒たち」のようだ。つまり、米国のYahoo!やLinkedIn、Dropboxを以前ハッキングしたデータ泥棒たちである。『WIRED』US版がデータのサンプルを分析したところ、これらの認証データは有効だったが、ほとんどは何年も前の情報漏えいが起きた際に盗まれたパスワードだった。

とはいえ、漏れた個人データの質はともかく、その量はとても多い。『WIRED』US版は10数人のメールアドレスを探すようルーランドに依頼した。その結果、ふたつを除くすべてについて、ここ数年の間にオンラインサーヴィスで使用したことがあるパスワードが、少なくともひとつ見つかった。

インターネット全体でも影響は大きい

それらのデータの重要性を示すもうひとつの物差しがある。ハッソ・プラットナー・インスティテュートの研究者たちによると、7億5,000万件の認証データは、盗まれたユーザー名とパスワードを集めたデータベース「Info Leak Checker」に含まれていなかった。またCollections #2–5の6億1,100万件の認証データは、Collection#1に含まれていなかった。

ハッソ・プラットナー・インスティテュートの研究者デイヴィッド・イェーガーは、Collections #2–5の一部について、パスワードのデータベースを盗む目的でより小さな無名のウェブサイトを自動的にハッキングすることで得られたものではないかと推測しているようだ。つまり、それらのパスワードのかなりの部分が初めて流出したものということになる。

コレクションの規模から考えても、未熟なハッカーたちが、すでに盗まれたユーザー名とパスワードがほかのウェブサイトでも使用されていることを期待して試してみる強力なツールになるとわかる。「クレデンシャルスタッフィング攻撃」と呼ばれるサイバー攻撃の手法だ。「インターネット全体としても、やはり非常に影響が大きいと言えます」とルーランドは話す。

ルーランドは現在、被害を受けた企業に連絡をとっている。自社の従業員と顧客を守りたいと連絡してくる各社の最高情報セキュリティ責任者には、情報を提供するという。

このハッソ・プラットナーのツールを使えば、誰もが自分のユーザーネームが盗まれていないかチェックできる。またツールがハッキングを警告しているウェブサイトで、あなたが使用していたパスワードをそのまま使っているなら、すぐに変えるべきだ。

言うまでもないことだが、同じパスワードを繰り返し使用するのはもってのほかだ。見破られにくいパスワードを自動生成してくれる「パスワードマネージャー」を使おう。トロイ・ハントがつくったサーヴィス「HaveIBeenPwned」を使って、自分のパスワードが盗まれていないかチェックすることもできる。ただ、この記事の公開時点では、Collections #2–5は含まれていない。

集めた個人情報は安売りのゴミ箱と同じ

ルーランドはこんな風に考えている。これらのデータはもともと、古いハッキングによって盗んだものをつなぎ合わせて売りに出したのだろう。しかしその後、競合企業の製品の価値を低めたいなどと考えるハッカーが盗んだか買ったかして、さらに広く流出させたのではないか。

ルーランドによると、彼がそのコレクションをダウンロードするために使ったtorrentのトラッカーファイルには、注意書きが含まれていた。ダウンロードする人たちに「できるだけ長くシード［編註：他者がP2Pでダウンロードできるように配布可能な状態で保存すること］して下さい」と要求していたという。

「誰かがこのコレクションが流出することを望んでいるのです」と、ルーランドは言う。注意書きには、現在のコレクションで欠けているデータもじきに公開されることも示唆されていたという。

一方、別の研究者たちによると、このように巨大なデータベースが自由にシェアされているという事実には、別の意味があるという。何年もにわたってハッカーたちの世界では、盗んだ個人情報が大量に蓄積された。そして、それは隅々にまで行き渡り、かなりの量の個人情報を含むようになったが、現実にはあまり価値がないということだ。

コレクションを分析したイェーガーはこう説明する。「おそらく、このデータベースを金儲けに利用しようと企んでいた熟練のハッカーたちは、もう何年も所有していたのでしょう。彼らはそのデータを主要なサービス上で試し終えたので、これ以上もっている意味がなくなり、安く売り払ったのだと思います」

膨大な個人情報が“公有財産”になるという宿命

データの売り値がある程度の金額より安くなると、ハッカーたちはそれをしばしば別のデータと交換するようになる。コレクションは広く流通し、価値がどんどん下がり、ついには無料になってしまうのだとイェーガーは言う。

それでも、そのコレクションはもっと小規模なハッキングのために使われ続けるのだ。ソーシャルメディアのアカウントに侵入したり、それほど有名でないサイトに入り込んだりするために使用されることになる。

「コレクションは、それを最初につくった人たちにとってはすでに価値のないものかもしれませんが、行きあたりばったりのハッカーたちならいろいろなサーヴィスで試すことができます」と、イェーガーは語る。

ハントはCollection#1の存在を1月に公表したあと、複数の人たちがCollections #2–5へのリンクを提供しようと申し出てきたため驚いたと話している。「ここからわかるのは、いま幅広く流通しているコレクションは、データ量の点でも程度の点でも前例がないということです」とハントは言う。「世界最大のハッキングではないにしても、これまでになく活発に行き来する状態で流通しているのです」

この意味で、Collections #1–5の登場はひとつの節目と言えそうだ。インターネット上では、ハッキングされた個人情報が時間とともにやがて朽ち果て、降り積もる。膨大な残骸は価値を失い、とうとう実質的に無料になり、ほとんど公のものに変わってしまう。その結果、本来であれば少しは守られていたかもしれない機密情報までもが、損なわれてしまうのだ。

「秘密の情報をもっている人がそれなりにいれば、誰かがそれをシェアしてしまいます」とルーランドは言う。「止めることのできないエントロピーのようなものです。データがそこにあれば、だんだん漏れていくのですから」