約3,000のデータベースリーク

• この件がオープンとなったのは、HackReadがHacked-DBからのタレコミを受け、2018年2月に明らかにされた以下の情報が契機とみられる。

3,000 Databases with 200 Million Unique accounts found on Dark Web https://t.co/GatFJ4YXMb

— Hacked-DB (@hacked_db) 2018年2月23日

取り上げられたリークの概要は以下の通り。

• 約3000のデータベースの中身とみられる情報が公開されていた。データサイズは約9GB。
• データの多くは初めて確認されたものが多かった。2011年から2018年までに取得されたものとみられる。
• 公開場所についてHackReadでは「ダークウェブ上で」とされている。
• データ自体はファイル共有のWebサイト上で誰でもダウンロードができる状態にあった模様。
• ファイルの一覧は次のPastebin上で明らかにされている。
• ファイル名に含まれるURLらしき文字列が関連するWebサイトから何らかの手段で取得したものとみられる。

• データベースには次のようなデータを含む約2億件のユニークなユーザー情報が含まれていた。
  • メールアドレス
  • 固有のIPアドレス
  • 潜在的な個人情報
  • 潜在的な口座情報
  • 一意なアカウント識別子
  • 組織や個人に関連する機密情報

Troy Hunt氏の分析

• Troy Hunt氏はこの件を受けてデータを探したところ、Haked-DBが確認したものとは少し違うものを発見したと報告している。

Troy Hunt: I've Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

Troy Hunt氏がそのデータを分析したところ、

• HackReadの記事よりも4日前によく知られたハッキングフォーラムに投稿されていた。
• 単一のZIPファイルに約8.8GBのサイズでダウンロードが可能な状態となっていた。
• ファイルはテキスト形式のものが2,889個含まれていた。
• 大半はメールアドレスと平文のパスワードであった。
• 重複した情報などをデータを精査し、Troy Hunt氏は最終的に次のデータを確認している。

• ファイルの一覧はPastebin上で明らかにされている。
• 流出の有無についてHIBP上で確認を行うことが可能となっている。

これらのデータはどこにリークされていたのか

• インターネット上では関連すると思われる痕跡がいくつか確認された。

• リーク情報は複数個所に出回っていた模様。プレミアム・アウトレットの場合、調査により5か所でデータの存在を確認したと発表している。
• Hacked-DBとTroy Hunt氏それぞれが公開しているPastebinの差分はこれです。
• Pastebin上にはファイルのサイズを加えたとみられる情報も公開されていた。

このリークを取り上げる国内の動き

2社がこの情報に関連する動きを見せており、それに合わせて報道が出ている。

関連タイムライン

関連する動きをまとめると以下の通り。

関連が疑われる国内事例

Troy hunt氏が公開したPastebin上で、.jp/.jp.comのドメインが含まれるファイル名は全部で84件存在する。
また2018年6月8日現在、以下の5つのサイト*2において、情報漏洩の被害が発表されている。

• 尼崎市（健診すずめ通信）
• 日本がん治療認定医機構（変更届システム）
• 冨美家（冨美家オンラインショップ）
• 三菱地所・サイモン（ショッパークラブ）
• 宝塚山本ガーデン・クリエイティブ株式会社（あいあいパーク）
• ビープラッツ株式会社（licensestore.jp）
• 二見書房（シャレード文庫）
• ジャパンレンタカー（ジャパンレンタカーWeb会員システム）

以下は各事案の個別まとめです。（後日詳細を追加します。）

尼崎市（2018年3月9日発表）

被害を受けたWebサイト：健診すずめ通信（閉鎖中）

• 2018年3月10日 （魚拓）健診すずめ通信のWEBサイトへの不正アクセスに関するご報告
• 2018年4月19日 健診すずめ通信のWEBサイトへの不正アクセスに関するご報告

日本がん治療認定医機構（2018年3月22日発表）

被害を受けたWebサイト：変更届システム（閉鎖中）

• 2018年3月22日 不正アクセスによる登録情報の流出に関するご報告とお願い

冨美家（2018年4月5日発表）

被害を受けたWebサイト：冨美家オンラインショップ

• 2018年4月5日 お客様情報流出に関するお詫び（株式会社冨美家）
• 2018年6月1日 不正アクセスによるお客様情報の流出に関するお詫びと調査結果のご報告

三菱地所・サイモン（2018年4月14日発表）

被害を受けたWebサイト：プレミアム・アウトレット ショッパークラブ（臨時サイト）

• 2018年4月7日 [PDF] 会員情報流出の可能性について
• 2018年4月14日 [PDF] ショッパークラブ会員情報に関するご報告
• 2018年6月7日 [PDF] ショッパークラブ会員情報の流出に関する調査結果のご報告

宝塚山本ガーデン・クリエイティブ株式会社（2018年4月27日発表）

被害を受けたWebサイト：あいあいパーク

• 2018年4月27日 [PDF] 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び

ビープラッツ株式会社（2018年5月10日発表）

被害を受けたWebサイト：licensestore.jp（過去に運営されていたサイト）

• 2018年5月10日 過去の当社運営サイトにおける不正アクセスに関するご報告

二見書房（2018年6月18日発表）

被害を受けたWebサイト：シャレード文庫

• 2018年6月18日 【お詫び】「シャレード文庫」メルマガ会員情報流出に関するご報告とお詫び

ジャパンレンタカー（2018年6月19日発表）

被害を受けたWebサイト：ジャパンレンタカーWebサイト

• 2018年6月19日 [PDF] WEB 会員情報流出の可能性について
• pastebinのファイル一覧にはジャパンカラオケのサイトのURLも含まれている。

更新履歴

• 2018年6月8日 AM 新規作成
• 2018年6月13日 PM 冨美家の事例を追加。
• 2018年6月26日 PM 二見書房の事例を追加。
• 2018年7月3日 PM ジャパンレンタカーの事例を追加。誤りを修正（ファイルの行数→ファイルのサイズ）。