2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2018年10月頃 | Alex Holden氏(Hold Security CTO)がデータセットの存在をアンダーグラウンドフォーラムで確認。 |
| 2018年11月頃 | Sanixer氏がクラウドストレージ(Mega)にCollection #1〜5等をアップロード。 |
| 2018年12月頃 | Sanixer氏がハッキングフォーラムにデータ販売の書き込み。 |
| 2019年1月7日 | ハッキングフォーラムにデータセット「Collection #1」の存在が投稿される。 |
| 2019年1月7日の週 | 複数人がTroy Hunt氏に「Collection #1」の情報を提供。 |
| 2019年1月17日 | Troy Hunt氏が「Colletion #1」の分析記事を公開。 |
| 同日 | BrianKrebs氏が同様のパッケージの存在を含めた取材記事を公開。 |
#時差があると思います。
発端となったTroy Hunt氏の分析記事
記事の要点
記事の要点をまとめると次の通り。
- このデータセットの呼称は「Collection #1」と呼ばれるもの。
- 2019年1月7日の週に複数人からこのデータについて連絡受けた。
- データは人気のあるハッキングフォーラムに掲載され、クラウドサービス(MEGA)で公開されていた。(その後削除された)
- このデータには数年前にTroy Hunt氏自身が利用していたメールアドレス、パスワードが含まれていた。
- 解析したデータはHaveIBeenPwned、Pwned Passwordsに追加が済んでおり、自分の情報が対象となっているかは確認可能な状態となっている。
- 固有メールアドレスで確認された件数(約7億7300万件)としてはこれまでTroy氏が確認したもので最大の件数。
- サイトから取得したとみられる時期はものによりけりで古い物では2008年頃とみられるものがある。
2019年1月7日のフォーラムへの投稿
「Collection #1」に関連する数字
今回の件に関連する数字をまとめると次の通り。
| (1) | データに含まれるファイル数 | 12,000個以上 |
|---|---|---|
| (2) | データのサイズ | 87.18 GB |
| (3) | (1)に含まれる全てのデータ件数 | 2,692,818,238件 |
| (4) | (3)の内、一意なメールアドレス、パスワード組み合わせ件数 | 1,160,253,228件 |
| (5) | (3)の内、HIBPに追加された固有のメールアドレスの件数 | 772,904,991件 |
| (6) | (3)の内、一意なパスワードの件数 | 21,222,975件 |
「Collection #1」に含まれるJPドメインの件数
侵害が疑われるドメイン {取得したとみられるデータの件数} [パスワードハッシュ化の有無].txtこの「侵害が疑われるドメイン」の文字列箇所について、.jpドメインが含まれる数を確認してみたところ次の結果となった。
| .jpドメインの文字列が含まれる件数 | 38個 |
|---|---|
| 2018年2月に確認されたものと重複しない件数 | 18個 |
(参考)2018年2月に確認されたデータリークをまとめた記事
確認した.jpドメイン18個は次の通り。
easyriders.jp itms.jp medicalview.sakura.ne.jp mensworker.jp npb.scforum.jp oshiete.petst.jp ota-fair.jp shizuoka-jinjacho.or.jp sp.acrovision.jp tech-t.co.jp t.tfn.ne.jp vch.jp water-net.co.jp www.aib-a.jp www.nabeya.co.jp www.okayama-international-circuit.jp www.porsche.co.jp www.shizu-toku.jp
- この内2個は2019年1月時点でアクセスが出来なかった。
- 大半は1000〜1万件程度のデータが含まれていたとみられる。1個だけ10万超のファイルが存在する。
- ポルシェジャパン(www.porsche.co.jp)は2018年4月に不正アクセスについて発表しているがこの件との関連は不明。
「Collection #2〜5」の存在が報告される
- その後続報として、同系のセットがまだ複数存在することをセキュリティジャーナリストのBrian Krebs氏が報告。
- 元々の販売スレッドのスクリーンショットが掲載されており、ファイルサイズは以下の数字が掲載されていた。
- ファイルの詳細(侵害されたサイト等)は明らかにされていないが、合計サイズが約1TB(993.36 GB)となる。
| データセット名 | サイズ |
|---|---|
| Collection #1 | 87.17 GB |
| Collection #2 | 526.11 GB |
| Collection #3 | 37.18 GB |
| Collection #4 | 178.58 GB |
| Collection #5 | 42.79 GB |
| AP MYR&ZABUGOR #2 | 24.53 GB |
| ANTIPUBLIC | 102.04 GB |
- 掲載されている情報は「メールアドレス・パスワード」「ユーザーID・パスワード」「電話番号・パスワード」のいずれか対にしているものとみられる。
- 販売者(Telegramユーザー名:Sanixer)に取材したKrebs氏の記事による関連情報は以下のもの。
- 2,3年程度前のデータであるとKrebs氏に対して説明している。
- これ以外にも複数のパッケージが存在し、合計は4TB以上、かつ確認されたものは1年以内。
- ハッキングフォーラムでも同様のデータセットの存在を報告する投稿が行われている。
2018年12月のSanixer氏のデータ販売投稿
- 2018年12月にハッキングフォーラムでSanixer氏が「CLOUD WITH COMBOS AMOUNT 993.36 GB」として販売していたとみられる。(確認した掲示板では販売投稿はルールに振れたためアカウントはBanされていた)
- Mega上に2018年11月頃にアップロードされたスクリーンショットを掲載しており、入金確認後にこれを連絡する手順とされていた。
- 45ドルで販売すると書き込まれていた。またプロモコードを入力すれば10%オフだとして40ドルで販売すると書き込まれていた。
- 販売サイトは「selly[.]gg」を利用していたが、利用規約に抵触したとしてページは既に削除されている。
更新履歴
- 2019年1月18日 AM 新規作成
- 2019年1月18日 PM 続報を掲載(jpドメインの重複していない件数が誤っていたため修正 20⇒18)
- 2019年1月19日 AM 追加情報を掲載
