Have I Been Pwnedに、盗難アカウントリスト「Naz.API」内のメールアドレス7,100万件が追加
(情報源:BleepingComputer )
10億件もの盗難認証情報から成るとされる大規模なデータセット、「Naz.API」。ここに含まれる盗難アカウントに関連するメールアドレス7,100万件が、Have I Been Pwnedのデータ侵害通知サービスに追加されたという。これにより、ユーザーは自らのメールアドレスがNaz.APIに紐づけられているかどうかをHave I Been Pwned上でチェックできるようになった。
大規模データセット「Naz.API」とは?
Naz.APIは、クレデンシャルスタッフィングリストのデータやスティーラーマルウェアのログデータから集めた盗難認証情報が10億行分以上含まれるとされるデータセット。クレデンシャルスタッフィングリストとは、過去のデータ侵害で漏洩したログイン名とパスワードのセットから成るリストで、漏洩元とは別のサイトの侵害を試みるために使われるもの。またスティーラーはブラウザやVPNクライアント等から情報を盗むマルウェアを指し、認証情報のほか、SSH鍵やクレジットカード情報、クッキー、ブラウザ履歴、暗号ウォレット情報なども盗もうとすることがある。
Naz.APIを利用するOSINTプラットフォーム、「Illicit.Services」
Naz.APIはデータ侵害コミュニティでは長い間出回っていたが、注目を浴び始めたのはOSINTプラットフォーム「Illicit.Services」で使用されるようになってからだという。Illicit.Servicesは、名前や電話番号、メールアドレスといった盗難データを検索できるサービス。ドキシングやSIMスワッピング攻撃に悪用されかねないといった懸念から昨年7月に閉鎖されたものの、9月に再び再開されて現在も利用可能となっている(※)。
※その後、2024年6月現在ではオフラインとなっている。
Have I Been Pwnedで自身のアドレスをチェック可能に
Have I Been PwnedのTroy Hunt氏によれば、ある有名なテクノロジー企業からNaz.APIを託され、データ侵害通知サービスにこのデータセットを追加したのだという。同氏は、Naz.APIが70,840,771件ものメールアドレスを含む319ファイルから成り、合計容量は104GBに達すること、また内容は古い情報であるとみられることなどを明かしている。
Have I Been Pwnedのサイトでは、誰でも検索によって自身の認証情報がNaz.APIに含まれるかどうかをチェックすることができ、該当する場合にはサイトから警告が発せられるという。ただし、当該情報がどのサイトで漏洩したのかまでは突き止められないため、漏洩アカウントの詳細についてはIllicit.Servicesで調べてみる必要がある。
検索に引っかかった場合は全パスワードの変更を
Have I Been Pwnedの検索で引っかかってしまったユーザーには、あらゆるアカウントのパスワードを変更することが推奨される。またNaz.APIに関連するスティーラーは暗号ウォレット情報をも標的にしている恐れがあるため、暗号ウォレットを保有している場合には、資産を速やかに別のウォレットへ移動させることも必要だとされている。
1月18日: その他のサイバーセキュリティ関連ニュース
新たなメソッド「iShutdown」により、PegasusなどiPhoneに潜むスパイウェアの痕跡があらわに
The Hacker News – January 17, 2024
「iShutdown」という「軽い方法」により、Apple iOSデバイスのスパイウェア感染を確実に特定できることをサイバーセキュリティ研究者が突き止めた。NSO GroupのPegasusやQuaDreamのReign、IntellexaのPredatorなどの痕跡を検出することができる。
Pegasusに感染したiPhoneを分析したカスペルスキー社は、「Shutdown.log」というファイルに感染の痕跡が残ったことを発見。さらなる調査の結果、ReignとPredatorに関しても同様の痕跡が認められたことから、同ファイルが感染検出の新たな手段になり得ると結論づけたという。なお、このファイルはすべてのiOSデバイスで利用可能なテキストベースのシステムログファイルで、その環境の特徴とともに再起動のイベントログをすべて記録する。
セキュリティ研究者のMahe Yamout氏は「フォレンジックイメージングやiOSのフルバックアップなど時間のかかる方法と比べると、Shutdown.logファイルはかなり簡単に取得できる」と語った。
親ロシア派グループ、スイス政府のサイトを攻撃 ゼレンスキー氏のダボス訪問受け
Security Affairs – January 17, 2024
親ロシア派グループNoNameが、スイスの複数サイトを攻撃したと主張。一連の攻撃は、ウクライナのゼレンスキー大統領をダボス会議へ出席させたことに対する報復だと考えられている。NoNameは複数の政府関連WebサイトにDDoS攻撃を仕掛け、一部のサイトが一時的にアクセスしづらい状態になったという。
標的となったサイトの一部は以下の通り。
・ダボス・クロスターズにあるスキー場のWebサイト上の認証
・スイスのケーブルカーネットワークのサービスプロバイダーPOOL-ALPINのサイト
・スイス内務省のサイト
・レーティッシュ鉄道(ダボス行きの列車を運行する鉄道会社)のサイト
スイスの国家サイバーセキュリティセンター(NCSC)は、この種の攻撃が生じることを予想しており、適切なセキュリティ対策を講じていたため、攻撃を速やかに検知してアクセス復旧のための必要な措置を直ちに講じたと主張している。
ダボスはスイスの高級スキーリゾート地で、現在世界経済フォーラム(WEF)の年次総会が行われている。