RockYou2024:漏洩パスワード100億件弱含む過去最大規模のパスワード集がリークされる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > RockYou2024:漏洩パスワード100億件弱含む過去最大規模のパスワード集がリークされる

Threat Report

MFA

ObamaCare

RockYou

RockYou2024:漏洩パスワード100億件弱含む過去最大規模のパスワード集がリークされる

佐々山 Tacos

佐々山 Tacos

2024.07.08

RockYou2024:漏洩パスワード100億件弱含む過去最大規模のパスワード集がリークされる

Cybernews – July 04, 2024

およそ100億件ものパスワードから成る過去最大規模の漏洩パスワード集「RockYou2024」がハッキングフォーラム上でリークされたとして、Cybernews紙が注意喚起。同紙の研究チームによれば、同リスト内にはすでに過去のデータ侵害で流出済みのパスワードと新たに流出したものが混在しているという。

RockYouパスワードリストとは?

今回リークされたRockYou2024は、最近になって突然ゼロから作り出されたわけではない。RockYouリストはもともと、ソーシャルサイト「RockYou.com」でデータ侵害が発生したのち2009年に出現したもの。当時含まれていたパスワードの件数は3,200万件だったとされるが、その後これらのパスワードはさまざまなハッカーによって利用されつつ、新たに流出したパスワードが追加されていったものとみられる。

2023年には、パスワードエントリを約84億件含むとされる進化版「RockYou2021(rockyou2021.txt)」の存在が明らかになったが、これにさらなる15億件のパスワードが追加されてできたのが、RockYou2024なのだという。

RockYou2024の内容:99億件超の漏洩パスワード

RockYou2024(rockyou2024.txt)は、7月4日にハッキングフォーラムのユーザー「ObamaCare」によってリークされたもの。ObamaCareは、ここ最近の間にさまざまなフォーラムでリークされたデータベース内の情報をRockYou2021に追加し、およそ100億件ものパスワードを含むリストへパワーアップさせたと主張している。Cybernewsの研究者によれば、このリストには重複なしで9,948,575,739件の平文パスワードが含まれているものとみられ、各パスワードの出所は新旧さまざまな漏洩データだと思われるという。

なおObamaCareは2024年5月にフォーラムへ参加した比較的新しいユーザーながらも、すでに法律事務所Simmons & Simmonsの従業員データベース、オンラインカジノAskGamblersのリード情報、米ニュージャージー州にあるカレッジの学生アプリデータを共有した実績があるという。

RockYou2024がもたらすリスク

最近話題になったSnowflakeアカウントを狙った攻撃キャンペーンからも明らかなように、漏洩パスワードはさまざまなアカウントの侵害に利用される恐れがある。RockYou2024もその例外ではなく、研究者は、含まれるパスワードがクレデンシャルスタッフィング攻撃などに悪用され、アカウントへの不正アクセスに繋がることを危惧している。また、ハッカーフォーラムやマーケットプレイスで出回るその他の漏洩データベースと組み合わせて利用されれば、さらなるデータ侵害や金融詐欺、身元乗っ取りといった被害も生じる恐れがあるという。

推奨される対策

自身のパスワードがRockYou2024やその他の漏洩パスワードリストに含まれているかどうかは、Cybernewsが提供するページ「Leaked Password Checker」で調べることができる。検索の結果漏洩が確認された場合は、以下の対策を講じることが推奨されている:

  • 漏洩していたパスワードに関連するあらゆるアカウントのパスワードを即座にリセットする。
  • できる限りすべてのアカウントに多要素認証(MFA)を設定する。
  • パスワードマネージャーを利用し、複雑なパスワードを安全に保存・生成する。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ