オーストラリアのセキュリティ研究者であるトロイ・ハント氏は、米国連邦捜査局(Federal Bureau of Investigation)にセキュリティ侵害のデータをインデックス化したサイト「Have I Been Pwned(HIBP)」に新しいコンテンツをアップロードすることを許可したと発表しました。
FBIは捜査中にパスワードリストを発見した場合、そのデータをHIBPサイト内の「Pwned Passwords」という項目にアップロードできるようになったとのことです
FBIはパスワードをSHA-1およびNTLMのハッシュとして提供しますが、平文では提供しません。
これらのパスワードは、6億1,300万件以上の流出したパスワードを集めた「Pwned Passwords」に追加されます。
HIBPのメインサイトでは、ユーザーの電子メール、名前、ユーザー名が過去のセキュリティ侵害でオンラインに流出していないかどうかを検索することができますが、Pwned PasswordsはHIBPサイトの中でも特に小規模で専門的なもので、パスワードの文字列がオンラインに流出していないかどうかを、パスワードとユーザーの詳細情報を結びつけることなくユーザーが検索することができます。
HIBPのPwned Passwordsの項目を作成した背景は、ハッカーが公開された情報からパスワードを収集しパスワードをマッピングした辞書を作成。それを使ってブルートフォース攻撃やクレデンシャルスタッフィング攻撃を行うという攻撃方法が存在するためです。
ユーザーがそのパスワードを使いまわしたり、複数のユーザーが同じパスワードを使用したりすると以前に流出したパスワードを使ってログインを試された場合、ハッカーによってアカウントが乗っ取られる危険性があります。
データ漏洩の検索機能があるということでHIBPサイトは有名ですが、実際にはPwned Passwords機能の方が便利であり、より広く採用されていることが分かっています。
公開検索、API、ダウンロード可能なデータベースとして提供されているPwned Passwordsコンポーネントは、何千もの公共および民間のアプリケーションに組み込まれており、ユーザーが脆弱なパスワードや過去に流出したパスワードを使用しているかどうかをチェックすることができるため、ユーザーに認証情報の変更を促すために使用されています。
現在、世界17カ国でPwned Passwordsが利用されており、政府職員が脆弱なパスワードや過去に流出したパスワードを使用しないようにしています。
これまではセキュリティ研究者や匿名の情報提供者がハント氏に共有したデータ漏洩したパスワードを利用していました。
FBIは、HIBPの「Pwned Passwords」にデータを提供する最初の公式外部ソースになります。
私たちはオンライン上の認証情報が盗まれた被害者を保護するためのプロジェクトで、HIBPと協力できることを嬉しく思います。これは、サイバー犯罪との戦いにおいて官民のパートナーシップがいかに重要であるかを示すもう一つの例となるでしょう
と、FBIのサイバー部門のアシスタントディレクター、ブライアン・A・ヴォルンドラン氏は述べています。
今回の動きは、先月FBIがEmotetボットネットから収集した430万件の電子メールアドレスのリストを共有した際に、ハント社とFBIが初めて協力したことによるものです。
Pwned Passwordsのコードがオープンソース化
HIBPがFBIと提携した同日に、ハント氏はPwned Passwordsコンポーネントのコードをオープンソース化したと発表しました。
FBIはハント氏が2020年8月に最初に検討し始めたHIBPコードのオープンソース化を要求したわけではないと述べています。
GitHubで公開されているこのコードは、.NET Foundationによって管理されることになっており、ハント氏は主要なHIBPデータ漏洩インデックスのコードも将来的にはオープンソース化されるだろうと述べています。
Comments