電子メール検証サービス Verification.io で 20 億件のレコードが漏洩

2 月に電子メール検証サービスの Verifications.io から漏洩したレコードの件数が予想を大幅に上回る可能性を専門家らが指摘しています。これらのレコードは誰でも平文形式でダウンロードできる状態にあり、その数は 20 億件近いとも言われています。

公開されていたデータを発見し、リサーチパートナーの Vinny Troia 氏と共同でデータ漏洩の調査にあたったセキュリティ研究者の Bob Diachenko 氏は、パスワードで保護されていない 150 Gb の MongoDB インスタンスを発見したと 2019 年 2 月 25 日に説明しました。

データベースには 4 つのコレクションがあり、Diachenko 氏は自身のブログで、最も大きなものには 150 Gb のデータと 8 億 850 万件のレコードが含まれていたと述べています。そのうち 7 億 9,800 万件にはユーザーの電子メールアドレス、生年月日、性別、電話番号、住所、郵便番号が IP アドレスとともに記録されていました。

同氏はさらなる調査も行いました。

(引用文日本語訳) 検証の一環として、無作為に抽出したサンプルを Troy Hunt 氏の HaveIBeenPwned データベースと照合しました。その結果、今回発見したデータは過去に流出したソースの「寄せ集め」ではなく、全く別のデータだという結論に達しました。

公開されていた MongoDB インスタンスからは、誰がアップロードしたかは明らかになりませんが、Diachenko 氏の調査で容疑者が浮上しました。Verifications.io です。現在 Web サイトを閉鎖中の同社は、エンタープライズ電子メール検証サービスを無料の電話番号検索とともに提供していました。

このサービスは「ハードバウンス」により不達となったメールアドレスを、メールリストから削除するものです。メールを一斉送信する業者はこのサービスを利用することで、有効なアドレスを特定できます。また、同社は以下のものをメールリストから削除するサービスも提供していました。

(引用文日本語訳) スパムトラップや、ロールアカウント、ボットクリッカー、ハニーポット、訴訟代理人など業者にとって脅威になり得るメールアドレス。

Diachenko 氏は Verifications.io 社にメールを送信し、以下の回答を受け取りました。

(引用文日本語訳) ご報告ありがとうございます。当該のデータベースは直ちに保護しました。今回の件で、たとえ 12 年の経験があったとしても警戒を怠ってはならないことを改めて認識しました。

精査の結果、アペンドのために使用していたデータベースが短時間流出していたことが判明しました。これは、クライアントデータではなく公開情報で構成された弊社のデータベースです。

今週、サイバーセキュリティ会社 Dynarisk が残り 3 つのデータコレクションを分析したところ、Diachenko 氏が報告したよりも多くのレコードを発見しました。同社は、データ総量は 196 Gb で、20 億件のレコードが存在したと主張しています

同社は The Register に対し、3 つのコレクションにはそれぞれ Verified EmailsPyEmailEmailScrub という名前が付けられていたと伝えています。EmailScrub が最も大きく、6.3 Gb ものデータを含んでいました。しかし、これらのコレクションにどのような情報が含まれていたかは詳しくわかっていません。

流出したレコードの数を 8 億件とするメディアと 20 億件とするメディアに分かれていますが、Troia 氏は当初の数字が正確であるとして、次のように Dynarisk の主張に異議を唱えています。

いずれにせよ、関係するユーザーへの影響は非常に大きいと Dynarisk は述べています。

(引用文日本語訳) 流出したメールアドレスのリストはフィッシングメールや携帯電話のプッシュペイメント詐欺に悪用される可能性があります。また、流出したデータには、CEO 詐欺やビジネスメール詐欺などのターゲットとして特定の人物を狙うのに十分な情報が含まれています。

オーストラリアのセキュリティ研究者 Troy Hunt 氏により、今回漏洩が確認されたレコードが HaveIBeenPwned にすでにアップロードされています。HaveIBeenPwned はセキュリティ侵害によって漏洩した電子メールアドレスをデータベース化している Web サイトです。今回発見された電子メールアドレスの約 3 分の 1 が今までデータベースになかったものだと次のようにツイートしています。

今回アップロードされたレコードによって、嬉しくない新記録が HaveIBeenPwned で樹立したようです。

漏洩被害に遭った場合の対策

HaveIBeenPwned で確認した結果、漏洩した Verification.io の (あるいは他の) メールアドレスの中に自分の電子メールアドレスが含まれていた場合にはどうすればよいのでしょうか。

以下の対策を取ってください。

  • 複数のサービスで使いまわしているパスワードを直ちに変更してください。それぞれが一意で強度が高く、推測されにくいものであることを確認してください。強力なパスワードの選び方についてはこちらを参照してください (リンク先: 英語)
  • 辞書に載っている単語、簡単な数字の組み合わせ、故意のつづり違いなど、推測されやすいパスワードを変更してください。
  • パスワードの管理にはパスワードマネージャーを利用してください。パスワードマネージャーを使用する理由についてはこちらを参照してください (リンク先: 英語)
  • 重要なアカウントでは 2 要素認証 (2FA、MFA) を有効にしてください。2FA の詳細と重要性についてはこちらを参照してください