Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

スパムだけでないメールアドレス漏えいの影響

ビジネス+ITの3月19日記事に役に立ちそうなサイト情報がありました。

www.sbbit.jp

下記のサイト(Have I Been Pwned)が自分のメールアドレスが過去に商用サイトから漏えいしたメールアドレスかどうか判別してくれます(漏えいしている情報を元にしたDBを構築しています)。

 

haveibeenpwned.com

こうした漏えい情報の合計(※記事記載時)は、このサイトだけで275サイト、49.5億件にものぼります。

f:id:foxcafelate:20180331162407j:plain

過去に大型な情報漏えいを起こしたサイトといえば、マイスペース、ヤフー、Adobeなどが有名ですが・・・意外に下位にランクされています。

f:id:foxcafelate:20180331162155j:plain

 

私も調べてみたのですが・・・プライベートのメールアドレスが1サイトでひっかかったという結果に・・・全然気づいてませんでした。

f:id:foxcafelate:20180331162641j:plain

 

ちなみに会社のアドレスは問題なし。

f:id:foxcafelate:20180331162719j:plain

 

このサイトにて漏えいしていたと言われたメールアドレスも、実際にはパスワードまでセットで漏れたかまでは分かりません。パスワード変更した方がより安全であるとは思いますが、その辺りは漏えいしたメールアドレスの重要度(フリーのメアドなら捨てるという手もありますし・・)を考慮して決めても良いのかと思います。

海外で名刺を交換・あるいは企業ブースにて投函(してiPadの抽選!に外れたケース)、する場合など、やはり海外起点では、結構そのあとにスパムメールが増えたりします。とは言え企業サイトの漏えいメールアドレスは全世界で50億件を軽く超えているわけですので、対面より非対面で”メールアドレスは漏れる”前提で(個人の)セキュリティを考える必要があるのだと思います。

IDとパスワードが漏れると様々な情報漏えい被害を受ける可能性がありますが、片方(ID=メアド)は既に漏れているという仮定であれば、重要なサイトでのパスワード使いまわしは危険である事は言うまでもありません。

しかし最近それ以上に問題だと思うのが、(そんなに個人では実害が無いかも知れない)漏えいしたメールアドレスが、ビックデータの紐付けコードとなってしまう事です。

 

例えば、以下の情報がDarkWebにあったとして、

  • Aサイト   メールアドレス、趣味
  • Bサイト   メールアドレス、氏名
  • SNSサイトC メールアドレス、ハンドルネーム
  • SNSサイトD ハンドルネーム、 都道府県名、生年月日

メールアドレスを紐付けキーにすると、4サイトから「メールアドレス、氏名、生年月日、ハンドルネーム、都道府県名」の情報を紐づけて取り出す事ができるかも知れません。SNSにアップされた写真から導きだせるヒントがあれば、更に細かい情報を入手する事もできるでしょう。場合によっては生年月日や趣味からパスワードが類推できるかも知れません。

DarkWebに溢れるビックデータを『分析して』出てきた個人(プロファイル)情報が、どのくらいの価値になるのかは、その個人が持つ資産価値によりますが、例えばその個人が、『標的型攻撃の対象』となりえる場合、攻撃の成功率はかなり高くなると推測されます。

 

多くの方にとって、たかがメールアドレスではあるかも知れません。しかしそれをキーとした攻撃が懸念される状況であるならば(例えば上記のサイトでいくつものサイトで”漏れている”と判定される場合)思い切ってメールアドレスを変更してしまう、そんな対策も考えておくべきなのかも知れません。

 

ウイルスに感染したEメールのイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)