2018年9月7日、日経ビジネスONLINEがスクープ記事としてパスワード16億件がインターネット上に流出していると報じました。ここでは関連情報をまとめます。
日経ビジネス 特集記事
- スクープ!ソニー・トヨタ・外務省…パスワード16億件流出 スパイが語る次の標的
- PART 1 英国人スパイの独白 サイバー空間に渦巻く陰謀
- PART 2 サプライチェーンが標的に 想定外の「抜け穴」判明 16億件は回収不可能
- PART 3 日本企業を包囲する4カ国 奪ったカネで核開発 正恩氏の“別動隊”暗躍
- PART 4 MUFG、富士通、パナソニックの防衛策 サイバー後進国の企業にできること
以下の記事は日経ビジネス DIGITALで限定公開されている。
タイムライン
記事中に登場する流出に係る出来事をまとめると次の通り。
| 日時 | 出来事 |
|---|---|
| 2017年12月 | 4iQが約14億件のクレデンシャル情報が流出していると発表。 |
| 2018年2月頃 | 約3000件のデータベース情報がネット上に流出していたと報じられる。 |
| : | 何者かがこれらの流出情報をかき集めた16億件のデータを作成。 |
| 真夏の某日 | 日経ビジネス記者が英国元諜報員とされるケネス・マレン氏(仮名)に取材。 |
| 後日 | マレン氏に仲介した人物よりネット上に膨大な情報が存在するとタレコミ。 |
| : | 日経ビジネス記者が当該データを入手し複数の専門家と分析。 |
| : | 日経ビジネス記者がソニー、東芝、トヨタなどへ取材。 |
| 2018年9月7日 | 日経ビジネスオンラインが16億件流出と報じる。 |
| 2018年9月10日 | 日経ビジネス 9月10日(No.1957)号発売。 |
※ 以下、「〜とみられる」はpiyokangoの推測です。
流出が指摘された16億件のパスワードの詳細
- 流出データには「メールアドレス」と「パスワード」の2つが含まれる。
- 流出元は指摘を受けた組織そのものからではなく、取引先などの社外Webサイトから漏れたもの。
- アドレスには流出元となったサイトが付記されている。(「www.premiumoutlets.co.jp.txt」のようにファイル名につけられていたものとみられる。)
- リストには業務依頼、アルバイト紹介、通販サイト等が含まれる。
- 16億件は過去にリークされた情報のかき集めからリスト化された。2018年5月に流出が発覚したプレミアムアウトレットが含まれる。
- カウントされた件数は日本企業だけではなく、グループ全体。
かき集め元とみられるデータ
- 件数から次の過去のデータをリスト化したものとみられる。
| 件数 | 概要 |
|---|---|
| 約14億件 | 2017年12月に4iQが存在を指摘と報じられる。 |
| 約2億件 | 2018年2月にHaked-DBが存在を指摘と報じられる。 |
- 2018年4月には中央省庁から2000人余りののメールアドレスが売買されているなどとNHKが報じていた。
- 2018年5月には同じデータをリスト化したソリトンシステムズの発表を受けて、日経新聞が22億件見つかる等と報じていた。
- 有志の検証でも過去リークされた記事中登場の数字に近い件数が確認されている。
この数字は日経が言っている「ソニーグループ1万7695件」に割と近いものであることから、今回新たなスクープと言うよりは既出物の寄せ集め (そして集計時に重複行をうまく処理できていなかったり) なのかもしれませんね。
— Neutral8✗9eR (@0x009AD6_810) September 6, 2018
記事中でリストアップされた組織
- 以下の組織の名称、件数が公開記事中に登場する。
| リストで確認された組織 | 流出件数 |
|---|---|
| ソニー | 1万7695件 |
| 東芝 | 1万635件 |
| トヨタ自動車 | 8194件 |
| 外務省 | 公開記事では非公表 |
その他の組織名や件数などの詳細は公開記事中にはないが、記事中の画像からいずれも製造業であることから次の組織がリストに含まれるとみられる。
特集の取材を受けたセキュリティ関連の企業
特集の取材を受けコメントをしている組織は次の通り。(人名は省略)
| 取材を受けコメントした組織 | コメント対象 | 登場パート |
|---|---|---|
| 元英国諜報員 | 英国のサイバー関連の動向、北朝鮮のサイバー部隊 | Part1、Part3 |
| トレンドマイクロ | BECの脅威 | Part2 |
| Spirent | 自動車の制御システム、メーカーの取り組み | Part2 |
| Cylance | 医療機器の欠陥 | Part2 |
| ノルディック・イノベーション研究所 | 電子投票システム | Part2 |
| テリロジー | アトリビューション(脅威インテリジェンス) | Part2 |
| NK知識人連帯 | 北朝鮮のサイバー部隊 | Part3 |
| レオンテクノロジー | 中国への情報流出とその指摘に対する日本の姿勢 | Part3 |
| 情報安全保障研究所 | 中国による日本人の巨大DB構築の指摘 | Part3 |
| FireEye | ロシアのサイバー犯罪の官民関与、イランによる日本への攻撃 | Part3 |
| Kaspersky | ロシア当局協力との指摘に対する反対意見 | Part3 |
| 元イスラエル国家サイバーセキュリティ委員長 | サイバー関連の防衛の責務 | Part3 |
| 富士通 | 重要な情報の預け先 | Part4 |
記事中に登場するインシデント事例
特集Part2の記事中で紹介されるインシデント事例は以下の通り。
- PlayStation Network個人情報流出 (2011年4月)
- プレミアムアウトレットの情報流出 (2018年5月)
- NTTドコモ オンラインショップへのリスト型攻撃 (2018年8月)
- チケットぴあ、Bリーグのクレジットカード情報流出 (2018年3月)
- 東京海上ホールディングスのBEC被害未遂(不明)
- 日本航空のBEC詐欺 (2017年12月)
- ベルギー クリーランのBEC被害 (2016年1月)
- JTBの情報流出 (2016年6月)
- これ以外にもStuxnet、Guass、Eternalblue、PlugXのキーワードも登場する。
更新履歴
- 2018年9月11日 AM 新規作成
