Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

LinkedInから5億人のユーザデータが漏えい

つぶやいてみた。

Facebookの次はLinkedInの様です。人気のハッカーフォーラムで新たな5億件の漏えいデータの販売が開始されたと報じられています。

cybernews.com

 5億のLinkedInプロファイルからスクレイピングされたとされるデータを含むアーカイブが人気のハッカーフォーラムで売りに出され、投稿者によって概念実証サンプルとしてさらに200万のレコードがリークされました。

(Cybernews.com記事より引用)※機械翻訳

 

キタきつねの所感 

Facebookが2019年の脆弱性で約5.3億件のデータ漏えいが大きな騒ぎとなっていますが、今回のLinkedInの販売データは約5億件と言われています。

同等クラスのデータ漏えいなのかと考える方も多いかと思いますが、実はユーザ数が違うので、もしこの漏えいが事実であればですが、LinkedInはFacebookの漏えい事件より被害が深刻と言えるかも知れません。

 

Social Media Labのデータ(2021/4)では、Facebookの全世界月間アクティブユーザは約23.8億人(国内月間アクティブユーザが約2,600万人)に対して、LinkedInの登録ユーザ数は約7.4億人(国内登録ユーザは約200万人)と分析されています。

gaiax-socialmedialab.jp

 

この数字を元に考えると、Facebookの約5.3億人はアクティブユーザの約22%であるのに対して、LinkedInの約5億人は登録ユーザの約68%にも上ります。言い方を変えれば、3割しか”無事ではない”訳ですから、いかに今回のデータ漏えいが(もし事実であれば)問題であるかが分かるのではないでしょうか。

 

昨日記事で取り上げたFacebookと同じ、人気ハッカーフォーラムでデータが販売中の様ですが、サンプルとして200万件が約2ドルで販売され、フルデータ(5億件)に関しては金額をDMしてくださいと書かれているので、オークション形式で販売をしている様です。

※最低4桁ドル、とあるので数十万円以上でオファーを要求している様です

f:id:foxcafelate:20210409095502j:plain

 

海外の関連記事でも、このデータが本物であるかどうかについて断言されているものはありませんでしたし、LinkedInからのコメント(リリース)もまだ出て無いようなので、5億件のデータ漏えいが本当ではない可能性も十分にあります

 

しかし既にサンプルデータは分析されていて、分析サンプル画像を見る限りでは「本物」っぽく見えます

・ID
・フルネーム
・メールアドレス
・電話番号
・性別
・LinkedInプロファイルへのリンク
・他のソーシャルメディアプロファイルへのリンク
・職業上の肩書きおよびその他の仕事関連のデータ

Security Affairs記事より引用)※機械翻訳

 

データがもし漏えいしていた場合、フィッシングメールへの悪用やパスワードリセット攻撃などの直接的な攻撃もありえますし、別なサイトで漏えいした使い回しパスワードと合さってLinkedInアカウントの侵害といった攻撃も考えられます。

日本のLinkedInユーザはFacebookよりはるかに少ないのですが、2段階認証の利用や、パスワード変更(使い回ししている場合)など、警戒した方が良いかも知れません。

※併せて、LinkedInを騙ったメールやSMS(例えばLinkedInが侵害されたのでパスワードリセットをこちらでして下さい・・といったメール)にも当面注意が必要です。

 

自分が漏えい対象かどうか心配な方は、NordPassの漏えい確認サイトがCybernews記事で紹介されていましたので、匿名利用ができるこちらで確認されるのも良いかと思います。

cybernews.com

f:id:foxcafelate:20210409101713p:plain



余談です。

まだ報じられている情報が少ないので、サンプル(200万件)だけの漏えいなのか、5億件まで影響範囲が拡大するのかは判断がつきませんが、この事件を調べている中で、中国の新興企業Socialarksがデータ侵害に襲われて世界中のSNSユーザ情報が漏えいした記事が今年1月に出ていたのを見つけました。

www.securitymagazine.com

サイバーセキュリティチームは、データがソーシャルメディアプラットフォームから「スクレイプ」されたと判断しました。データスクレイピングは、Webサイトから個人情報を抽出する手段です。

データベースには次のものが含まれていました。

11,651,162Instagramユーザープロファイル
66,117,839LinkedInユーザープロファイル
81,551,567Facebookユーザープロファイル

(Security Magazine記事より引用)※機械翻訳

 

LinkedInの漏えい件数は約6,600万件ですので、こうした漏えいデータがあれば、サンプルの200万件のデータには十分ですし、データが「加工されれば」今回の販売データに化ける可能性もあるのかと思います。

※人気ハッカーフォーラムの販売者(ユーザ)アカウントは「新規(New User)」で信用度が低いユーザでしたので、入手した過去の漏えいデータを「加工」する事は考えられなくはありません。(その場合、購入者の評判が「低くなる」ので暫くするとフォーラムから消えていく事が多い気がします)

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ネットワークで繋がる人々のイラスト

 

更新履歴

  • 2021年4月9日 AM