Last Updated on 2024-07-08 21:07 by admin

2024年7月8日、ある人気のハッキングフォーラムで、9,948,575,739個のユニークなプレーンテキストパスワードが含まれるファイルが流出した。このリストは、過去のデータ侵害で得られたパスワードのコンパイルであり、「RockYou2024」というファイル名からその名が付けられた。このリストには実際に使用されているパスワードが含まれているため、攻撃者がアカウントに不正アクセスを試みる際（ブルートフォース攻撃として知られる）、成功する可能性が高くなる。しかし、これほど多くのパスワードを試すことを許可するサービスやウェブサイトはほとんどなく、主に攻撃者がパスワードデータベースを盗み、オフラインでパスワードを解読しようとする場合にのみ有用である。

サイバー犯罪者は、このリストを他の侵害データ、例えばユーザー名とパスワードの組み合わせと組み合わせることで、パスワードが再利用されている場合に成果を得ることができる。また、ハッシュ化されたパスワードのリストを持っている場合、パスワードのハッシュ値と照合を試みることも可能である。ただし、これはパスハッシュ攻撃に脆弱なサービスにのみ有効である。

パスワードの再利用を避け、単純なパスワードを使用しない、または多要素認証（MFA）を使用している場合、このリストのリリースは心配の対象外である。Malwarebytesは、個人データがオンラインでどの程度露出しているかを確認する無料ツールを提供している。

【ニュース解説】

2024年7月8日に、ある人気のハッキングフォーラム上で、約99億個にも及ぶユニークなプレーンテキストパスワードが含まれるファイルが流出しました。このファイルは「RockYou2024」と名付けられ、過去の様々なデータ侵害から得られたパスワードの集大成であることが示されています。このリストには実際に使用されているパスワードが含まれており、攻撃者がアカウントへの不正アクセスを試みる際に、成功率を高める可能性があります。

このような大量のパスワードが流出することは、サイバーセキュリティにおいて重大な問題です。攻撃者は、このリストを利用して、パスワードデータベースを盗んだ後、オフラインでパスワードを解読しようとする場合に有用な情報として使用することができます。また、他のデータ侵害から得られたユーザー名とパスワードの組み合わせと組み合わせることで、パスワードの再利用が行われているアカウントを特定し、不正アクセスを試みることも可能になります。

この問題に対処するためには、ユーザー自身がパスワードの再利用を避け、単純なパスワードを使用しないよう心がけることが重要です。また、多要素認証（MFA）を活用することで、セキュリティを一層強化することができます。多要素認証は、パスワードだけでなく、別の認証要素（例えば、スマートフォンへの通知や指紋認証など）を要求することで、不正アクセスのリスクを大幅に低減させることができます。

このような大規模なパスワード流出事件は、個人だけでなく企業にとっても、セキュリティ対策の見直しを迫る機会となります。企業は、パスワードポリシーの強化、従業員へのセキュリティ教育の徹底、システムのセキュリティ対策の強化など、様々な対策を講じる必要があります。また、将来的には、パスワードに依存しない認証方法への移行も検討されるべきです。

この事件は、サイバーセキュリティの脅威が常に進化していることを改めて示しています。個人ユーザーから企業に至るまで、セキュリティ意識の高揚と対策の強化が求められています。

from ‘RockYou2024’: Nearly 10 billion passwords leaked online.