コレクションの背後にいる脅威アクター #1 データ侵害を特定

投稿: 2019年2月1日

作成者 : Insikt Group

Threat Actor Behind Collection #1 Data Breach Identified

Executive Summary

On January 17, 2019, security professional Troy Hunt disclosed “Collection #1,” a data breach collection of 1,160,253,228 unique combinations of email addresses and corresponding passwords. A total of 772,904,991 unique email addresses and 21,222,975 unique passwords were discovered. Then, on January 31, PCWorld reported that researchers at the Hasso Plattner Institute discovered an additional 611 million credentials they attributed to the Collection #1 data breach.

Recorded Futureは、2019年1月19日の完全なダンプを分析し、コレクション#1に含まれるアカウント認証情報の多くが、2〜3年前のさまざまな過去のデータ侵害によるものであり、新たに侵害されたアカウントが含まれていない可能性があることを確認しました。

複数の脅威アクターがデータのソースであると主張し、脅威アクター「Clorox」を含むこれらのデータベースをダークウェブ全体に配布していました。しかし、Recorded Futureは、コレクション#1の元の作成者および販売者が俳優「C0rpz」であったことを中程度の信頼性で評価しています。ロシアの有名なハッキングフォーラムの別の攻撃者も、1,000億のユーザーアカウントの大規模なデータベースを共有していることが確認されており、コレクション#1で見つかったのと同じデータセットが含まれている可能性があります。

脅威分析

Insikt Group discovered a forum post created on January 17, 2019 by Clorox, who posted seven URLs to separate databases hosted on the file sharing service MEGA. In total, the seven databases listed below contained 993.53 GB of data containing three different variations of user credentials: email addresses and passwords, usernames and passwords, and cell phone numbers and passwords.

『アンチパブリック #1』(102.04 GB)
「AP MYR & ZABUGOR #2」(19.49 GB)
『コレクション #1』(87.18 GB)
「コレクション#2」(528.50 GB)
『コレクション #3』(37.18 GB)
『コレクション #4』(178.58 GB)
「コレクション#5」(40.56 GB)

フォーラムの投稿で、CloroxはTroy Huntの記事「The 7 73Million Record 'Collection #1' Data Breach」にリンクし、Troy Huntのデータベースは不完全であり、ダークウェブでCollection #1として知られている元のダンプのほんの一部に過ぎないと主張しました。さらに、Cloroxは、元のデータダンプが別のフォーラムで別の当事者によって販売され、その後、MEGAの異なるURLにホストされていた元のファイルが削除されたと述べました。クロロックス氏によると、トロイ・ハント氏は、個人が削除し忘れたこれらのデータベースの1つをダウンロードすることができたが、その直後に削除したという。

さらに分析を進めると、2019年1月7日という早い時期に、コレクション#1の元の作成者および販売者であると主張した別の人物がC0rpzというあだ名を使用していることがわかりました。 C0rpzはまた、別のフォーラムメンバーである「Sanix」が彼らからコレクション#1を購入し、それを他のフォーラムメンバーに再販しようとしたと述べています。 Sanixは、Brian Krebsが彼の記事「773M Password 'Megabreach' is Years Old」で特定した人物であり、私たちの分析では、この人物がC0rpzが最初に作成したデータベースを販売しようとした人物と同一人物であることが確認されました。 Sanixはその後フォーラムから追放され、C0rpzはコミュニティに無料でMEGA共有コレクション#1へのリンクを投稿しました。

Recorded Futureは、コレクション#1のさらに別の可能性のあるソースを発見しました。 2019年1月10日、ロシア語を話す有名なハッカーフォーラムのアクターが、個人のWebサイトでホストされている1,000億のユーザーアカウントを含むデータベースにマグネットリンクと直接ダウンロードリンクの両方を投稿しました。その翌週、この俳優は、Troy Huntの記事で参照されているデータダンプもダンプに含まれていることを明らかにしました。

今後の展望

Recorded Futureは、データベースコレクション#1とそのバリエーションが引き続きダークウェブコミュニティで共有され、さまざまな脅威アクターからのクレデンシャルスタッフィング攻撃に組み込まれることを高い信頼性で評価しています。ただし、コレクション#1に含まれるアカウント資格情報の多くは、以前のさまざまなデータ侵害からのものであり、その中には2〜3年前のものもあります。影響を受けた個人の多くがすでにパスワードを変更するように求められている可能性が高く、そうでなければこのリークによって危険にさらされていたでしょう。

個人は、公開された電子メールアドレスや携帯電話番号を標的にする可能性のあるフィッシング攻撃に備える必要があります。現在のお客様は、詳細に興味がある場合は、Recorded Future Intelligence Servicesコンサルタントに連絡できます。