ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2018年03月19日

あなたのメールアドレスも漏れている 「50億件」流出の衝撃

若い人はチャットを利用し、先進的な企業もSlackを業務で活用しメール離れが進む。Gmailのスパムフィルターはかなり優秀で、もはやスパムをあまり意識することはないかもしれない。しかし、スパムメールが消滅したわけではない。もちろんばらまき型のメールや標的型攻撃メールもしかり。好まざる相手からメールが届くということは、少なくともメールアドレスのリストもまだ生きている。この意味を改めて考えたい。

執筆:フリーランスライター 中尾真二

photo

メールアドレスはもはや「漏れていることを前提」にして考えなければならない

(©Production Perig - Fotolia)



一部で把握できている漏えいアドレスだけで「50億件」

 「haveibeenpwned」というサイトがあるのをご存じだろうか。マイクロソフトのリージョナルダイレクターであり、セキュリティスペシャリストのTroy Hunt氏が運営するサイトで、メールアドレスを入力すると、過去の重大漏えい事件などで流出したアカウント情報データベースをサーチして記載(=漏れている)の有無を教えてくれる。

photo
(クリックで拡大)

「haveibeenpwned」にとあるメールアドレスを入力した例


 上記画像の例でいえば、DropboxとForbesのサイトが攻撃されたときに流出したデータに、入力したメールアドレスが含まれていたということになる。また、同サイトの情報(3月13日現在)によれば、検索対象は、情報漏えいを起こした271のサイト、4,949,099,146個のアカウントとなっている。簡単にいえば、なんらかのインシデントで流出したアカウントのうち、同社が管理するデータベースに保存されているものが50億近くあるということだ。

 ただし、自分のアドレスが漏えいしていることがわかったからといって、慌てても仕方ない。というのは、とりあえずパスワードを変えるくらいしか利用者側にできることはないからだ。

 もちろん、メールアドレスが漏れていることは軽い問題ではないが、ネット上に流出したデータを消すことは(ほぼ)不可能だ。PCやスマートフォンの脆弱性をなくし、メールのフィルターを強化するなどの対策を考えるほうが現実的だ。

漏えい前提で考えるアカウント情報

 なお、haveibeenpwnedが把握しているだけでも50億件もの漏えいしたアドレスがあれば、自分のメールアドレスが含まれていてもなんら不思議はない。インターネットでもうまく検索すれば、攻撃者が使っているアドレスリストにたどり着くこともできる。

 例えば「pastebin」のようなサイトは、しばしば攻撃者どうしのアドレスリスト交換に利用されることがある。ハッカーが自分の成果を誇示するために、盗み出したアカウント情報をSNSやブログ、Webサイトに公開する場合もある。「ダークウェブ」(通常のブラウザーではアクセスできないWebコンテンツ)ならば当然、そのようなデータが飛び交っているわけだ。メールアドレスはそういう前提で考える必要がある。

 問題は、漏えいした情報がどれほど危険な状態にあるか、実際の攻撃に利用されているかどうかだ。haveibeenpwnedの情報では、漏えいが発生した時期も記載されている。すでにそのサービスアカウントのパスワードを変更したか、退会していれば、関連するスパムや不審なメールが増えていないかで、実際の危険度を判断する。

 漏えいが直近で、関連していそうなスパムや不審アクセスが増えているなら、そのサイトやサービスの運営に問い合わせしてもいいだろう。ただし、そのスパムや不審アクセスがこの漏えいによるものかの特定は難しい。直接的な対策はとりにくいので、注意しながらセキュリティ対策を強化・再確認するしかない。

 危険度の評価が難しい場合、セキュリティベンダーなどに相談してもよい。漏えいしたメールアドレスの危険度を評価してくれるサービスも存在する。

【次ページ】 メールアドレスの漏えいにはどう対応すべきか

お勧め記事

情報漏えい対策 ジャンルのトピックス

一覧へ

情報漏えい対策 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング