コレクションの背後にいる脅威アクター #1 データ侵害を特定
Executive Summary
2019年1月17日、セキュリティ専門家のTroy Huntは、メールアドレスと対応するパスワードの一意の組み合わせ1,160,253,228のデータ侵害コレクションである「コレクション#1」 を公開しました 。 合計772,904,991の一意のメールアドレスと21,222,975の一意のパスワードが検出されました。 その後、1月31日、PCWorldは、ハッソ・プラットナー研究所の研究者が、コレクション#1のデータ侵害に起因すると思われる6億1,100万の資格情報を追加で発見した と報告 しました。
Recorded Futureは、2019年1月19日の完全なダンプを分析し、コレクション#1に含まれるアカウント認証情報の多くが、2〜3年前のさまざまな過去のデータ侵害によるものであり、新たに侵害されたアカウントが含まれていない可能性があることを確認しました。
複数の脅威アクターがデータのソースであると主張し、脅威アクター「Clorox」を含むこれらのデータベースをダークウェブ全体に配布していました。 しかし、Recorded Futureは、コレクション#1の元の作成者および販売者が俳優「C0rpz」であったことを中程度の信頼性で評価しています。 ロシアの有名なハッキングフォーラムの別の攻撃者も、1,000億のユーザーアカウントの大規模なデータベースを共有していることが確認されており、コレクション#1で見つかったのと同じデータセットが含まれている可能性があります。
脅威分析
Insikt Groupは、2019年1月17日にCloroxが作成したフォーラム投稿を発見し、ファイル共有サービスMEGAでホストされている別々のデータベースに7つのURLを投稿しました。 以下にリストされている 7 つのデータベースには、合計で 993.53 GB のデータが含まれており、これには 3 つの異なるユーザー クレデンシャル (電子メール アドレスとパスワード、ユーザー名とパスワード、携帯電話番号とパスワード) が含まれています。
- 『アンチパブリック #1』(102.04 GB)
- 「AP MYR & ZABUGOR #2」(19.49 GB)
- 『コレクション #1』(87.18 GB)
- 「コレクション#2」(528.50 GB)
- 『コレクション #3』(37.18 GB)
- 『コレクション #4』(178.58 GB)
- 「コレクション#5」(40.56 GB)
フォーラムの投稿で、CloroxはTroy Huntの記事「The 7 73Million Record 'Collection #1' Data Breach」にリンクし、Troy Huntのデータベースは不完全であり、ダークウェブでCollection #1として知られている元のダンプのほんの一部に過ぎないと主張しました。 さらに、Cloroxは、元のデータダンプが別のフォーラムで別の当事者によって販売され、その後、MEGAの異なるURLにホストされていた元のファイルが削除されたと述べました。 クロロックス氏によると、トロイ・ハント氏は、個人が削除し忘れたこれらのデータベースの1つをダウンロードすることができたが、その直後に削除したという。
さらに分析を進めると、2019年1月7日という早い時期に、コレクション#1の元の作成者および販売者であると主張した別の人物がC0rpzというあだ名を使用していることがわかりました。 C0rpzはまた、別のフォーラムメンバーである「Sanix」が彼らからコレクション#1を購入し、それを他のフォーラムメンバーに再販しようとしたと述べています。 Sanixは、Brian Krebsが彼の記事「773M Password 'Megabreach' is Years Old」で特定した人物であり、私たちの分析では、この人物がC0rpzが最初に作成したデータベースを販売しようとした人物と同一人物であることが確認されました。 Sanixはその後フォーラムから追放され、C0rpzはコミュニティに無料でMEGA共有コレクション#1へのリンクを投稿しました。
Recorded Futureは、コレクション#1のさらに別の可能性のあるソースを発見しました。 2019年1月10日、ロシア語を話す有名なハッカーフォーラムのアクターが、個人のWebサイトでホストされている1,000億のユーザーアカウントを含むデータベースにマグネットリンクと直接ダウンロードリンクの両方を投稿しました。 その翌週、この俳優は、Troy Huntの記事で参照されているデータダンプもダンプに含まれていることを明らかにしました。
今後の展望
Recorded Futureは、データベースコレクション#1とそのバリエーションが引き続きダークウェブコミュニティで共有され、さまざまな脅威アクターからのクレデンシャルスタッフィング攻撃に組み込まれることを高い信頼性で評価しています。 ただし、コレクション#1に含まれるアカウント資格情報の多くは、以前のさまざまなデータ侵害からのものであり、その中には2〜3年前のものもあります。 影響を受けた個人の多くがすでにパスワードを変更するように求められている可能性が高く、そうでなければこのリークによって危険にさらされていたでしょう。
個人は、公開された電子メールアドレスや携帯電話番号を標的にする可能性のあるフィッシング攻撃に備える必要があります。 現在のお客様は、詳細に興味がある場合は、Recorded Future Intelligence Servicesコンサルタントに連絡できます。
関連