過去最大のハッキング事件公表　サービス売り込みもセット？

　12億件という過去に例を見ない規模の個人情報漏えいが明らかになった――。セキュリティ企業Hold Securityの報告によると、ロシアのハッカー集団がボットネットなどの手法を利用して世界中の膨大な個人情報を組織的に収集。このハッカー集団は購入した個人情報のデータをもとに、サイトをハッキングしてパスワードまでを手に入れていたという。だが、同社がその被害に遭ってないかを調べる有料サービスを合わせて発表してことで、批判も出ている。

過去最大規模12億件

　Hold Securityは8月5日、「You have been hacked!（あなたはハッキングされている）」という調査結果を報告した。7カ月にわたるという同社の調査によると、約42万のWebサイトやFTPサイトから45億件ものユーザー名とパスワード情報をロシアのハッカー集団が不正に収集したという。重複を除くとユニークなユーザー名（電子メールアドレス）とパスワードの組み合わせは12億件にのぼり、5億件以上のメールアドレスに帰属しているとのことだ。

　Hold Securityはこのサイバー集団を“CyberVor”（Vorはロシア語で泥棒を意味する）と名付けている。CyberVorはロシア南部のカザフスタンとモンゴルを拠点としており、20代の若者数人が集まり、会社のような組織を形成しているという。3年ほど前にアマチュアのスパマーとして活動を開始。盗まれた個人情報データベースを闇市場で購入し、これを使って電子メール事業者やソーシャルメディアなどのサイトにスパムや悪意あるコードを送りつけるなどして攻撃していた。

　それが今年に入ってアプローチを変更。闇市場からボットネットネットワークのデータを取得し、これを使って訪問したWebサイトにSQLインジェクション攻撃のための脆弱性がないかを調べたようだという。「ボットネットはおそらく過去最大のセキュリティ監査をした」としている。こうやって収集した脆弱性情報を利用して、ユーザーがWebサイトにログオンするときなどに利用するユーザー名とパスワードなどの情報を不正に集めたとしている。

　CyberVorは規模の大小、地域に関係なく、とにかく得られるだけの情報を収集したようだ。Fortune 500にリストされる大企業もあれば小規模企業もあり、地域も米国、ロシアと幅広い。「コンピューターの専門家などではない限り、もし自分のデータがWebのどこかにあるというのなら、この不正侵入の影響を何らかの形で受けている可能性は高い」としている。

　Hold Securityはベンチャーだが、2013年10月にはAdobe Systemsのデータ漏えいを、同年末には小売り大手Targetのデータ漏えいを報告している。今回のCyberVorの調査では、自社セキュリティサービスの「Deep Web Monitoring」でユーザー名とパスワードの安全性を調べる「Credential Integrity Services」を利用したと報告している。