CyberNewsは7月4日(現地時間)、「RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews」において、ハッキングフォーラムから約100億件の漏洩パスワードが公開されたと伝えた。これは「ObamaCare」と名乗る脅威アクターが「RockYou2024パスワードコンピレーション」として公開したもので、過去に公開されたRockYou2021に新しい漏洩パスワードを追加したとみられる。
-
RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews
2021年は約84億件の漏洩パスワードが公開
2021年にハッキングフォーラムに投稿されたRockYou2021パスワードコンピレーションには、約84億件の漏洩パスワードが含まれていたとされる。つまり、今回はわずか3年ほどで15億件を追加したことになる。
CyberNewsによると、今回公開されたRockYou2024には9,948,575,739件の漏洩パスワードが含まれていたという。これはパスワードの漏洩データセットとしては最大規模とみられている。なお、今年初めにはパスワード以外の情報を含む約260億件の侵害データセットが漏洩している(参考:「260億件以上の漏洩データを発見、過去最大規模の可能性 | TECH+(テックプラス)」)。
防衛策
CyberNewsはすべてのユーザーに対し、次の対策を実施することを推奨している。
- 漏洩パスワードチェッカー「Leaked Password Check: Has My Password Been Hacked?」を使用して、パスワードが漏洩しているか確認する
- 漏洩している場合は一意で強力なパスワードに変更する
- 多要素認証(MFA: Multi-Factor Authentication)を利用する
- パスワードマネージャーを使用してパスワードの生成、管理を行う。ただし、Webブラウザに標準搭載のパスワードマネージャーは使用しない
CyberNewsは、すでに今回公開されたRockYou2024を漏洩パスワードチェッカー「Leaked Password Check: Has My Password Been Hacked?」に統合している。現在は約330億件のパスワードが登録されており、ユーザーはこの膨大なデータベースから漏洩の有無を確認することができる。
漏洩したパスワードは脅威アクターのクレデンシャルスタッフィング(Credential stuffing)攻撃に悪用される可能性がある。これまでに多くの企業や組織が被害に遭っており、すべてのユーザーに積極的な防衛策の実施が望まれている。
