先月、セキュリティ研究者であるBob Diachenko氏とVinny Troia氏がパスワードで保護されていないMongoDBを発見したが、そこには約8億900万の個人情報が格納されていた。

Diachenko氏のブログによると、そのデータベースはVerifications.ioというEメールマーケティング会社のものであり、名前、メールアドレス、電話番号、住所、性別、生年月日、個人の住宅ローンの金額、金利、ソーシャルメディア(Facebook、LinkedIn、Instagram)のアカウント、信用情報など、大量の個人情報が含まれていたという。

Diachenko氏がVerifications.ioに報告したところ、Webサイトはオフラインになったが、両氏以外の人がデータベースにアクセスしたかどうかなど、詳細は明らかになっていない。したがって、今後、このデータベースに格納されていたが個人情報が悪用されることも考えられる。

そこで、自分のデータが不正アクセスを監視する方法、保護する方法を紹介しよう。

まず、自分のメールアドレスがこのデータベースに含まれていたかどうかは、HaveIBeenPwnedというWebサービスで調べることができる。HaveIBeenPwnedは、セキュリティ研究者のTroy Hunt氏によって運営されており、過去にWeb上で漏洩したパスワードデータを収集しており、Verifications.ioが公開していたデータも追加されている。

Hunt氏によると、Verification.ioのデータの35%は新しいものではないが、Verification.ioのデータの量は同氏が追加した2番目に大きいメールアドレスのデータだったという。

  • メールアドレスの漏洩を調べることができる「HaveIBeenPwned」。Verifications.ioから漏洩したデータも追加されていることが記載されている

マカフィーの公式ブログでは、大規模なデータ流出から保護するための対策として、「個人データと財務データのモニタリング」と「強力でユニークなパスワードの利用」を挙げている。

個人データと財務データをモニタリングすることで、データが不正アクセスされていることに気づく可能性がある。もし、不審な点を感じたら、プライバシー設定の更新、パスワードの変更、2要素認証の追加といったことを行ったほうがよい。

これまでさんざん言われてきたことだが、パスワードの使い回しをやめるとともに、アカウントごとに簡単に破ることができないパスワードを使うことが大切だ。

今後、Verification.ioによって公開された個人情報がどのような経緯で流出したのかに関する調査結果が明らかにされる可能性もあるので、期待したい。