Last Updated on 2024-08-06 04:36 by admin
2024年1月23日、オンライン上で数十億もの露出したレコードが発見され、「すべてのブリーチの母」と呼ばれるようになりました。このデータセットの出所は、データブリーチ検索エンジンのLeak-Lookupと特定されました。プリベンションプラットフォームのSpyCloudは、このデータと自社の再取得データセットを比較し、少なくとも94%のデータが公開されているもの、古いもの、または広く知られているものであることを発見しました。これにより、多くの新しいレコードが残されています。SpyCloudのブログによると、「SpyCloudのデータセットと比較して異なると見られる、少数の個別のブリーチが大量のレコード – 約16億 – を含んでいる」とのことです。SpyCloudは、一部のデータを「プライベートセールブリーチ」と呼ばれるものに帰属させることができました。これは、公共の場外で個人的に売買されたり交換されたりしたデータセットです。
HaveIBeenPwnedのTroy Huntは、データブリーチの「個人的な隠し場所」エコシステムが存在することを指摘しています。これは、個人データのレコードが何十億ものコピーを繰り返し作成する交換エコシステムを燃料とする、あちこちに存在するデータブリーチの個人的な隠し場所から成り立っています。「グローバルなインターネット利用者の大部分のデータが、ダークウェブの怪しい隅だけでなく、メインストリームのウェブサイトで明るみに出て取引されている」とHuntは述べています。これらの怪しいサービスは、犯罪者を含む関心のある当事者が、ユーザーネーム、パスワード(クリアテキストを含む)、メールアドレス、IPアドレスを含むレコードにアクセスすることを可能にします。そして、Leak-Lookupが「悪い」側であるとHuntは以下の理由で感じています:アクセスを購入した後、データブリーチで露出した広範な個人情報を返します。運営者は匿名を保とうとしており、誰がそれを運営しているかについての情報は発見できません。利用規約には、「このサービスを自分自身の個人的なセキュリティと研究のためにのみ使用してください」とありますが、その制限を実施することはありません。
さらに、ブリーチデータの購入者とブローカーの数が多いことにも懸念があります。経済学で学んだように、需要が価格を押し上げ、価格が高くなるほどデータを追求することが魅力的になります。そして、MOABブリーチが明らかにしたように、誤ってコレクションを露出させることに十分注意していない人もいます。そして、このタイプのデータを購入しているのはサイバー犯罪者だけではありません。米国のロン・ワイデン上院議員は、国家安全保障局がアメリカ人のインターネット記録を購入していることを確認する文書を公開しました。これは、FTCの最近の命令にもかかわらず、データブローカーがアメリカ人の同意を得る前にそのデータを販売することを要求しています。
【ニュース解説】
2024年1月23日に発見された、数十億もの露出したレコードを含むデータセットが、「すべてのブリーチの母」として注目を集めています。このデータセットの出所は、データブリーチ検索エンジンのLeak-Lookupであることが特定されました。プリベンションプラットフォームSpyCloudによる分析では、このデータの94%が公開されているもの、古いもの、または広く知られているものであることが明らかになりましたが、約16億のレコードが新しいものとして特定されました。これらのデータは、公共の場外で個人的に売買されたり交換されたりした「プライベートセールブリーチ」と呼ばれるものに帰属されています。
この事態は、個人データのレコードが何十億ものコピーを繰り返し作成する交換エコシステムを燃料とする、データブリーチの「個人的な隠し場所」エコシステムの存在を浮き彫りにしています。このエコシステムは、ダークウェブの怪しい隅だけでなく、メインストリームのウェブサイトで明るみに出て取引されていることが指摘されています。これにより、犯罪者を含む関心のある当事者が、ユーザーネーム、パスワード(クリアテキストを含む)、メールアドレス、IPアドレスを含むレコードにアクセスすることが可能になっています。
Leak-Lookupは、データブリーチで露出した広範な個人情報を提供することで、「悪い」側と見なされています。特に、運営者が匿名を保とうとしており、利用規約があるにも関わらず、その制限を実施していない点が問題視されています。さらに、ブリーチデータの購入者とブローカーの数が多いことが懸念されており、需要が価格を押し上げ、データを追求することが魅力的になるという経済学の原則がここにも当てはまります。
このような状況は、個人情報の取り扱いに関する規制や法律の強化を求める声を高めることになります。また、サイバーセキュリティの重要性が再認識され、個人や企業におけるデータ保護対策の見直しを促すことになるでしょう。長期的には、データのプライバシー保護とセキュリティ強化に向けた技術の進化や、データ取引の透明性を高める取り組みが期待されます。しかし、このような大規模なデータブリーチが示すように、インターネット上での個人情報の流出と取引は、今後も継続的な課題となることが予想されます。