情報システムへ入るカギに当たる「アカウント情報」が多くの日本企業や政府機関から流出している。こう指摘した調査報告がある。アカウント情報とはメールアドレスとパスワード(PW)の組み合わせを指す。両者が攻撃者の手に渡ると、情報システムへ侵入されやすくなる。

 セキュリティーに関する製品やサービスを提供するソリトンシステムズがインターネット上を探索、30億件もの流出アカウント情報を見つけ出し、分析結果をホワイトペーパーにまとめて発表した。

 サイバー攻撃に対抗するインテリジェンス活動の一環として、インターネット上には様々な情報を提供するWebサイトが色々ある。例えば攻撃者のリスト、攻撃手法、攻撃に利用されるマルウエアの情報などが公開されている。それらのインテリジェンスが提供する情報や手法などをヒントに、ソリトンシステムズは独自に、流出アカウント情報を必要に応じて分析できるようにした。

 30億件のうち、「.jp」が最後に付く日本の企業や政府機関のアカウント情報としてこれまで約1300万件を見つけた。多くはSNS(ソーシャルネットワーキングサービス)などのWebサイトから流出したもの。利用者がSNSを使う際、メールアドレスとパスワードを入力するため、SNSなどのWebサイトに蓄積されていくが、そのサイトがサイバー攻撃を受け、アカウント情報が持ち出された。

SNSサイトからパスワードが漏れる

 ソリトンシステムズの調べによると、例えば以下のサイトから「.jp」が付くアカウントが漏れていた。数字は漏れた件数である。

  • ソフトウエア会社のアドビシステムズ 294万件
  • オンラインストレージサービスのドロップボックス(Dropbox) 110万件
  • SNSのマイスペース(Myspace) 93万件
  • SNSのバドゥー(Badoo) 28万件
  • ミニブログのタンブラー(Tumblr) 21万件
  • SNSのリンクドイン(LinkedIn) 15万件

 バドゥー(Badoo)は国際的な、いわゆる“出会い”系SNSである。それにも関わらず、所属先のメールアドレスを使って登録し、流出した例が日本でも散見された。