NCA、5億8500万件のパスワードをHave I Been Pwnedと共有したことを発表

英国国家犯罪捜査局(NCA)は、捜査中に発見した5億8500万件以上のパスワードをセキュリティ侵害のデータをインデックス化しているウェブサイトHave I Been Pwnedと共有したことを発表しました

Open Source Pwned Passwords with FBI Feed and 225M New NCA Passwords is Now Live!
In the last month, there were 1,260,000,000 occasions where a service somewhere checked a password against Have I Been Pwned's (HIBP's) Pwned Password API. 99.7...

米国連邦捜査局(Federal Bureau of Investigations)が5月に同様のサービスを開始して以来、ハッキングされたパスワードをHIBPに正式に提供した法執行機関はNCAが2番目となります。

HIBPの開発者であるトロイ・ハントはブログ記事で、NCAが発見した2億2,500万件の漏洩したパスワードは、新しく一意なものであると述べています。

これらのパスワードはHIBPのウェブサイトの「Pwned Passwords」というセクションに追加されており、このセクションでは企業やシステム管理者が、現在使用しているパスワードがハッキングされていないか、ブルートフォース攻撃やパスワード・スプレー攻撃に使用される公開リストに含まれていないかを確認することができます。

現在HIBP Pwned Passwordsコレクションには55億件のエントリーがあり、そのうち8億4700万件は一意なものです。これらのパスワードはすべて無料でダウンロードできるため、企業はハント社のサービスに接続することなく、ローカルでパスワードをデータセットと照合することができます。

NCAは、ハント社と共有している声明の中で、英国のクラウドストレージ施設のアカウントで電子メールアカウントとペアになった漏洩したパスワードを発見したと述べています。

分析の結果、これらの認証情報は既知および未知の侵害されたデータセットの集積であることが明らかになりました

NCAは、漏洩した電子メールとパスワードの組み合わせを特定のプラットフォームや企業に帰属させることはできなかったと述べています。

未知の犯罪者によって英国企業のクラウドストレージに置かれたという事実は、認証情報がパブリックドメインに存在することを意味し、他の第三者がさらなる詐欺やサイバー犯罪を行うためにアクセスできる可能性がある

HIBPは現在、世界27カ国の政府機関で採用されており、ユーザーアカウントのテストや、ユーザー情報の漏洩・流出の確認に利用されています。

コメント

タイトルとURLをコピーしました