comb: パスワードの大量流出

Categories
< Back
You are here:
Print

comb: パスワードの大量流出

comb: パスワードの大量流出
フェリペ・ダラゴンとSyhuntチームによる論文。4月26日 2021

分析結果
顧客やメディアからのご要望に応えて、私たちはCOMB21の分析を行った。COMB21は、先月ブラジルの大規模データ流出に関するリンクや情報が掲載されていたのと同じインターネットフォーラムでハッカーによって2021年2月2日に公開されたもので、既知のパスワード流出の中でも最大のものだ。

私たちは、この漏洩事件は、現在および過去のパスワードを公開するだけでなく、パスワードの主要な要素やパターン、世界中の個人や組織の再使用や変更の習慣について、危険で前例のない方法で洞察を与えるものであると結論づけた。多くの場合、固有の電子メールにリンクした3~30個のパスワードが公開されており、これにより個人のパスワード変更の習慣についての洞察が得られる。また、複数のドメインで同一のユーザー名でパスワードが繰り返されている場合、パスワード再利用の習慣がある人かどうかが露見する。

今回、21億8,000万件の電子メールにリンクされた32億8,000万件のパスワードが流出し、1つのファイルにまとめられ、フォーラムのリンクを通じて公開された。今回の漏洩は完全に無料で公開され、7zipで圧縮された単一のアーカイブの形で、ハッカーやサイバー犯罪者の間で活発に共有されている。

数字で見るリーク情報

漏洩したパスワードの総数 3279064312

流出したユニークメールの総数 21億8,000

流出したドメインの総数 2,600万

非圧縮のパスワードデータベースのサイズ 100GB

暴露された世界の政府機関のパスワードの合計 1502909

暴露された米国政府のパスワードの合計 625505

圧縮されたパスワードデータベースのサイズ 18.6GB (7Z)

14億件の認証情報が公開された2017年のBreach Compilationと比べて、今回のリークコンピレーションは、2倍のユニークなメールとパスワードのペアが含まれている。2017年のコンピレーションと同様にcount_total.shというスクリプトが含まれており、メールを照会するためのquery.shと、パスワード漏洩データをソートするためのsorter.shという2つの新しいスクリプトが追加されている。

世界政府への影響

分析の結果、COMBの流出データには、政府系ドメインのメールにリンクした数百万件のパスワードが含まれており、世界中の政府機関にとって大きな脅威となっていると結論づけた。ハッカーやサイバー犯罪者だけでなく、敵対的な外国のアクターもCOMBの流出を悪用する可能性がある。

流出したgovメールのパスワード(国別) – 上位50カ国

国と露出したパスワードの合計
アメリカ合衆国 (*.gov) 625,505
イギリス (*.gov.uk) 205,099
オーストラリア (*.gov.au) 136,025
ブラジル (*.gov.br) 68,535
カナダ (*.gc.ca) 50,726
南アフリカ (*.gov.za) 48,838
メキシコ (*.gob.mx) 31,995
フランス (*.gouv.fr) 24,002
中国 (*.gov.cn) 18,282
韓国 (*.go.kr) 17,560
台湾 (*.gov.tw) 17,007
アルゼンチン (*.gov.ar) 15,604
ニュージーランド (*.govt.nz) 15,488
マレーシア (*.gov.my) 12,463
トルコ (*.gov.tr) 11,469
オーストリア (*.gv.at) 9,529
コロンビア (*.gov.co) 9,428
タイ (*.go.th) 7,913
日本 (*.go.jp) 7,650
ウクライナ (*.gov.ua) 6,206
ペルー (*.gob.pe) 6,038
チリ (*.gob.cl) 5,843
シンガポール (*.gov.sg) 5,470
イスラエル (*.gov.il) 4,984
コスタリカ (*.go.cr) 4,402
インド (*.gov.in) 4,253
ポーランド (*.gov.pl) 4,194
インドネシア (*.go.id) 4,040
アラブ首長国連邦 (*.gov.ae) 3,672
スイス (*.gov.ch) 3,310
エクアドル (*.gov.ec) 2,792
イタリア (*.gov.it) 2,593
サウジアラビア (*.gov.sa) 2,564
ハンガリー (*.gov.hu) 2,166
パキスタン (*.gov.pk) 2,123
ロシア (*.gov.ru) 1,964
フィリピン (*.gov.ph) 1,921
香港 (*.gov.hk) 1,795
ベトナム (*.go.vn) 1,725
ラトビア (*.gov.lv) 1,647
エルサルバドル (*.gob.sv) 1,640
モザンビーク (*.gov.mz) 1,493
フィジー (*.gov.fj) 1,492
ベネズエラ (*.gob.ve) 1,461
ケニア (*.go.ke) 1,407
ナミビア (*.gov.na) 1,354
ヨルダン (*.gov.jo) 1,340
ジャマイカ (*.gov.jm) 1,298
モロッコ (*.gov.ma) 1,235
ウガンダ (*.gov.ug) 1,228
地球上のすべての国の合計 1,502,909
上記の数字は、100GBのCOMBアーカイブをすべてスキャンして得られたものです。

注:ドイツではgovドメインの拡張子が使用されていないため、リストには含まれていない。

米国の影響

暴露された.USドメインのパスワードの合計*2,780,342

暴露された GOV ドメインのパスワードの合計数 625,505
(*) gmail.comなど、米国人が使用している国際メールが考慮されていないため、実際の数字はもっと大きくなる。

リークされた米国政府系ドメイン(.gov)トップ20
順位、ドメイン、公開されたパスワードの数 (以下の名前はすべて.govの拡張子を持つ)

1.州:29,144
2.バージニア州:28,937
3:DHS:21,575
4: NASA: 15,665
5: IRS: 10,480
6: cdc: 8,904
7.米国疾病対策局:8,857
8.SSA: 8,747
9:USPS: 8,205
10: EPA: 7,986

11.DC: 7,790
12. 学校.NYC: 7,761
13: 京都府: 7,314
14: メール.NIH: 7,302
15: faa: 7,159
16: ミシガン州: 7,053
17: バップ: 7,051
18: ノア: 6,682
19: GSA: 6,456
20: Med.Va: 6,345

上記の数字は、100GBのCOMBアーカイブをすべてスキャンして得られたもの。

フロリダ州オールズマーの水道施設への攻撃

サイバーニュースの記事によると、COMBのリークには、フロリダ州のオールズマー水道局の電子メールにリンクした13の認証情報が含まれていた。この水道局では、COMBが公開された3日後に、灰汁濃度を100倍にして水道を汚染しようとするサイバー攻撃を受けた。しかし、COMBの流出がサイバー攻撃に利用されたかどうかは確認されていない。

ブラジルでの影響

暴露された .BR パスワードの総数*: 9,785,714

「GOV.BR」のパスワードの総計 68,535

「JUS.BR」のパスワードの合計数 4,589
(*) gmail.comなど、ブラジル人が利用する国際メールを考慮していないため、実際の数字はもっと大きい。

漏洩したgov.brドメインのトップ20

順位、ドメイン、公開されたパスワードの数 (以下の名前の拡張子はすべて.gov.br)

1. caixa: 2,197
2. fatec.sp: 2,035
3. see.sp: 1,665
4: pbh: 1,008
5. macae.rj: 1,004
6.BCB:999
7.カマラ:985
8.プレヴィデンシア:870
9. policiamilitar.sp:831
10: escola.ce: 805

11:エテック.sp:796
12:シード.pr:796
13:prefeitura.sp:787
14:tj.rs: 769
15: ポルミル.SP: 642
16: チェスフ。593
17:DPF: 576
18: ブリガダミリター.rs: 493
19: ファゼンダ.SP: 466
20: アグリカルチュラ: 451

上記の数字は、100GBのCOMBアーカイブ全体をスキャンして得られたもの。

ブラジルにおけるメガリークの利用

私たちが最近分析したブラジルの大規模データリークでは、数百万件の電子メールが公開され、CPF番号で個人に、CNPJ番号で企業に結び付けられていたが、パスワードは含まれていなかった。しかし、このリーク情報がネット上で積極的に販売・共有されていることから、サイバー犯罪者やハッカーは、既知の手口に基づき、この2つのリーク情報の組み合わせを利用することは間違いない。

先に述べたように、COMBのパスワード流出は、個人や組織の過去のパスワード要素、パスワードパターン、パスワードの変更や再利用の習慣について、これまでにない方法で洞察を与えてくれる。一方、CPF/CNPJデータのリークは、個人が現在のパスワードの一部として使用している可能性のある電子メール、誕生日、家族の名前などの特定の重要な詳細情報についての洞察を与える。この2つのデータが同時に利用された場合、対象者の現在のパスワードを正確に推測できる可能性が大幅に高まる。

Estadão社からの依頼を受けて、ブラジル大規模データ流出事件のハッカーのカタログ情報を処理したところ、7,780万人の個人と1,580万社の企業が、CPF番号とCNPJ番号に関連して、ハッカーが販売するためにカタログ化した電子メールを保有していることがわかった。この数が、COMBとブラジルのメガデータ流出の両方の複合的な悪用に対して、特に脆弱な個人と企業の数になる。

また、最初の流出では、電子メールがデータベースに含まれた日付も含まれており、個人や企業の電子メールがどの年に使用されていたかを知ることができる。

漏洩の原因

私たちはこのリークをPWCOMB21(PassWord Compilation Of Many Breaches Of 2021)と名付けたが、単にCOMBと呼ぶこともある。COMB のリークは、この文書の最初のセクションで説明したように、リークの集大成であり、そのため、流出したパスワードの印象的な数は、長年にわたって起こったさまざまな企業や組織での複数のリークに由来している。パスワードは、パスワードハッシュクラッキングなどのよく知られた技術によって、盗み出された後、時にはフィッシング攻撃や安全でない平文の接続を盗み聞きするなどして暴露された。

結論

近年、企業や組織は、パスワード漏洩の監視、ウェブアプリケーションやログイン機構のセキュリティ強化、HTTPS への切り替え、パスワード漏洩への対応などの努力を行ってきたが、今回のパスワード漏洩のデータが公開され、活発に共有されたことは、インターネットのセキュリティに大きな打撃を与える。

上記のドメイン、組織、機関、企業の中には、何年も前に侵害について公に認め、適切な対応策や対策を採用したところもあるかもしれないが、流出したパスワードのかなりの数は、単にユーザーの電子メールにリンクしたアカウントを作成することを許可した他の企業やウェブサイトの侵害に由来するものと思われる。これは、ソーシャルネットワークの中でもLinkedInなどのサービスや、COMBのアーカイブでは言及されていない複数のインターネットウェブサイトがこれに該当する。

Syhuntは、特に次のように提言する。

認証の分野におけるイノベーションを支援し、追求し、導入すべきである。
多要素認証(MFA)とトークンは、これまで以上に広く導入され、奨励されるべきである。
壊れたパスワードハッシュ(MD5、SHA1など)の置き換えは、ソースコードの分析、非推奨(SAST)、その他の手段を通じて、より積極的に推進されるべきである。
ユーザーは、既存のパスワードを変更するだけでなく、パスワードを変更する際には、パスワードの命名習慣やパターンを完全に断ち切るようにアドバイスされるべきである。また、これまで以上に強力なパスワードを採用するように奨励し、支援すべきである。
管理者や上級ユーザは、強力で安全なパスワード生成機能を備えたパスワードマネージャを使用すべきである。
世界中のパスワードポリシーと実践について議論し、見直し、改善する。
パスワード推測のためにCOMBのリークに適用された深層学習の意味について議論する。

深層学習による抽出

PassGAN のような深層学習ツールが COMB の漏洩にうまく適用されると、漏洩のコンパイルによってもたらされる脅威が増加する – PassGAN は Generative Adversarial Network をパスワードの漏洩に適用して、これらのパスワードの分布について学習させ、この知識を使ってパスワードを推測する。

参考文献
オールズマー(フロリダ州)の水道施設の認証情報がCOMBのデータリークに含まれていた、サイバーニュース、2021年2月11日付
Senhas de LinkedIn, Netfix e outros estão em maior vazamento da história, Canaltech, 2021年2月3日
30億件以上の電子メールとパスワードがネット上に流出したばかり、TechRadar、2021年2月3日
Generative Adversarial Networksがパスワードを解読できる、2020年3月31日

出典:https://www.syhunt.com/en/?n=Articles.COMBPasswordLeak2021

Table of Contents