RockYou2024:漏洩パスワード100億件弱含む過去最大規模のパスワード集がリークされる
およそ100億件ものパスワードから成る過去最大規模の漏洩パスワード集「RockYou2024」がハッキングフォーラム上でリークされたとして、Cybernews紙が注意喚起。同紙の研究チームによれば、同リスト内にはすでに過去のデータ侵害で流出済みのパスワードと新たに流出したものが混在しているという。
RockYouパスワードリストとは?
今回リークされたRockYou2024は、最近になって突然ゼロから作り出されたわけではない。RockYouリストはもともと、ソーシャルサイト「RockYou.com」でデータ侵害が発生したのち2009年に出現したもの。当時含まれていたパスワードの件数は3,200万件だったとされるが、その後これらのパスワードはさまざまなハッカーによって利用されつつ、新たに流出したパスワードが追加されていったものとみられる。
2023年には、パスワードエントリを約84億件含むとされる進化版「RockYou2021(rockyou2021.txt)」の存在が明らかになったが、これにさらなる15億件のパスワードが追加されてできたのが、RockYou2024なのだという。
RockYou2024の内容:99億件超の漏洩パスワード
RockYou2024(rockyou2024.txt)は、7月4日にハッキングフォーラムのユーザー「ObamaCare」によってリークされたもの。ObamaCareは、ここ最近の間にさまざまなフォーラムでリークされたデータベース内の情報をRockYou2021に追加し、およそ100億件ものパスワードを含むリストへパワーアップさせたと主張している。Cybernewsの研究者によれば、このリストには重複なしで9,948,575,739件の平文パスワードが含まれているものとみられ、各パスワードの出所は新旧さまざまな漏洩データだと思われるという。
なおObamaCareは2024年5月にフォーラムへ参加した比較的新しいユーザーながらも、すでに法律事務所Simmons & Simmonsの従業員データベース、オンラインカジノAskGamblersのリード情報、米ニュージャージー州にあるカレッジの学生アプリデータを共有した実績があるという。
RockYou2024がもたらすリスク
最近話題になったSnowflakeアカウントを狙った攻撃キャンペーンからも明らかなように、漏洩パスワードはさまざまなアカウントの侵害に利用される恐れがある。RockYou2024もその例外ではなく、研究者は、含まれるパスワードがクレデンシャルスタッフィング攻撃などに悪用され、アカウントへの不正アクセスに繋がることを危惧している。また、ハッカーフォーラムやマーケットプレイスで出回るその他の漏洩データベースと組み合わせて利用されれば、さらなるデータ侵害や金融詐欺、身元乗っ取りといった被害も生じる恐れがあるという。
推奨される対策
自身のパスワードがRockYou2024やその他の漏洩パスワードリストに含まれているかどうかは、Cybernewsが提供するページ「Leaked Password Checker」で調べることができる。検索の結果漏洩が確認された場合は、以下の対策を講じることが推奨されている:
- 漏洩していたパスワードに関連するあらゆるアカウントのパスワードを即座にリセットする。
- できる限りすべてのアカウントに多要素認証(MFA)を設定する。
- パスワードマネージャーを利用し、複雑なパスワードを安全に保存・生成する。