何年もかけて データ侵害の発見と調査 グレッグ・ポロック氏は、パスワードや社会保障番号が満載された別の公開されたデータベースを見つけたとき、「多少の疲れを感じながらもそれに取り組むことになる」と認めています。しかし、サイバーセキュリティ企業アップガードのリサーチディレクター、ポロック氏は、同僚とともに1月にオンラインで、アメリカ国民の機密個人データが膨大に含まれているオープンで公的にアクセス可能なデータベースを発見したため、疲労が解け、調査結果を検証するための行動をとったと述べた。

UpGuardの研究者らは、すべての記録が固有の有効な情報を表しているわけではないとしているが、1月の暴露で見つかった合計には、約30億件の電子メールアドレスとパスワードに加え、社会保障番号を含む約27億件の記録が含まれていたという。誰がこのデータベースを開設したのかは明らかではありませんでしたが、これには過去のいくつかのデータ侵害から収集された可能性のある個人情報が含まれているようです。その中には、おそらく 2024 年の身元調査サービス National Public Data の侵害から得た資金も含まれています。データブローカーやサイバー犯罪者が古いデータセットを結合したり再結合したりするのは一般的ですが、社会保障番号の規模と潜在的な量は、たとえその一部が本物だったとしても、驚くべきものでした。

「紙の上では大きく見える発見が毎週ありますが、おそらくそれほど新しいものではありません」とポロック氏は言います。 「そこで、データを検証するためにここで特定のケースを探し始めたとき、私は驚きました。場合によっては、個人情報が暴露されているものの、まだ悪用されていないため、このデータ侵害で危険にさらされていることがあります。」

データはドイツのクラウド プロバイダー Hetzner によってホストされていました。ポロック氏は連絡すべきデータベースの所有者を特定できなかったため、1月16日にヘッツナー氏に通知した。その後、同社は顧客に通知し、顧客は1月21日にデータを削除したと述べた。

ヘッツナー氏は出版前に『WIRED』にコメントを寄せていない。

研究者らは、そのサイズと感度のため、分析のためにデータセット全体をダウンロードしませんでした。代わりに、リポジトリ全体のほんの一部である 280 万件のレコードのサンプルを使用しました。パスワードにおける特定の文化的参照の人気など、データの傾向を分析した結果、データの大部分は 2015 年頃の米国のものである可能性が高いと結論付けました。たとえば、ワン ダイレクション、フォール アウト ボーイ、テイラー スウィフトを参照するパスワードは非常に一般的でした。その間、BLACKPINK、Catseye、Batsarmeeへの言及はかろうじて現れ始めていました。

古いデータは 2 つの理由から依然として価値があります。まず、人々は多くの場合、同じ電子メール アドレスとパスワード、またはパスワードのバリエーションをさまざまな Web サイトやサービスで再利用します。これは、サイバー犯罪者が同じ人物に対して同じログイン資格情報を長期間にわたって試行し続ける可能性があることを意味します。 2 番目の理由は、人々の社会保障番号は最も機密でリスクの高いデータに関連付けられていることが多いものの、生涯を通じてほとんど変更されないことです。結果として、正規の SSN は、攻撃者にとって個人情報盗難の至宝の 1 つとなります。

ポロック氏は、研究者らが調査したデータのサンプルでは、​​社会保障番号の 4 分の 1 が有効かつ合法であると思われると述べています。データセット全体を推定するにはサンプルが小さすぎましたが、6 億 7,500 万件は SSN を含む全レコードの 4 分の 1 を占めることになります。その一部は依然として非常に重要な社会保障番号のセットを表します。

データを検証するために、UpGuard の研究者は、漏洩したリポジトリにデータが存在した数人の人々に連絡しました。ポロック氏は、これらの人々と話した結果、最も懸念すべき発見の 1 つは、全員が個人情報を盗まれたり、ハッキングを受けたりしたわけではないということであったと強調しました。言い換えれば、データベースにはサイバー犯罪者によって使用されていない情報が含まれており、潜在的な被害者は自分の情報が漏洩していることにまったく気づいていません。