SecurityInsight | セキュリティインサイト

ファイア・アイ、日本人の個人情報2億件以上が含まれたファイルを中国の脅威アクターが販売目的で広告掲載していることを発見

ファイア・アイは5月17日、公式ブログにおいて、日本人の個人情報2億件以上が含まれたファイルを中国の脅威アクターが販売目的で広告掲載していることを発見したと述べた。このデータセットは国内複数のWebサイトのデータベースから抽出された、本物のデータであるとファイア・アイは分析しているという。ブログの概要は以下のとおり。

2017年12月、中国のアンダーグラウンド市場において、ある脅威アクターが、個人情報を収録したデータセットを販売する目的で広告を掲載しているのが発見された。データセットには、氏名、認証情報(ID・パスワード)、メールアドレス、生年月日、電話番号と住所が含まれていた。脅威アクターはデータセットに一意の認証情報セットが2億件収録され、国内で人気の複数のWebサイトのデータベースから抽出したと謳っており、1,000人民元(約1万7000円)で販売されていた。

データそのものは、小売、食品、飲料、金融、エンターテインメント、交通など、さまざまな業界のWebサイトから盗まれたと考えられる。各フォルダーのラベルには、データが2016年の5月から6月に取得されたものと示すものもあれば、2013年の5月と7月に取得されたことを示す日付も観察されている。

販売されていたデータセットを分析したところ、データセットには2億行以上の情報が収録されており、おそらく11~50件の国内Webサイトから盗まれたと考えられる。公に公開されているデータソースには存在しない、多様なデータを含んでいることがから、データ自体は本物であると考えられる。

流出したメールアドレスのうち20万件を無作為抽出したところ、大半は大規模な情報漏洩事件で過去に流出したものだった。このことから、これらのデータセットは、今回の販売目的のためだけに作成されたものではないと考えられる。また、データの大半は、ある特定の漏洩事件や公開Webサイトによるものではないため、攻撃者が情報漏えい事件で得た情報を購入して転売した可能性も低いと考えられる。

こうした情報の大半は、大規模な情報漏洩事件で過去に漏洩したもの、あるいは過去に販売されたものの可能性があるため、今回の発見されたデータセットに記載のあった組織や個人を標的とし、新たな悪意ある活動が大規模に行われることはないと予想している。しかし、不正アクセスを受けたWebサイトと、他の個人や企業関連アカウントの間で、認証情報の再利用があった場合、漏洩した情報が他の組織の標的活動に悪用される可能性がある。漏洩した電子メールや認証情報は、なりすまし犯罪、迷惑メール・マルウェアの伝播、詐欺に使われる可能性もある。
 

関連リンク

FireEyeブログ