過去に流出した個人情報を寄せ集めたと思われる、7.7億件のメールアドレスやパスワードの一部等の情報が流出していたことが判明しました。
データが公に出回った事件としては過去最大だそうです。
これはリスト攻撃を前提として収集された情報と考えられ、早速このブログでも以前ご紹介した「‘;–have i been pwned?」というサイトで、自分のメール・アドレスが漏えいしたかどうかを調べることができます。
最近のセクストーションメールなどの詐欺(脅迫)メールでも、受け取ったユーザーが実際に使用しているパスワードを提示してくるものもあり、このメールアドレス・パスワードの漏えいについてはいよいよ看過できない状況になっていると言えるでしょう。
仮に、百歩譲って上記のような詐欺メールに引っ掛かる人は皆無(無視する)だとしても、詐欺メールをばら撒くことで、そのメールアドレスが生きているかどうかが判定できます。
(使用されていないメールであればメールサーバーから不着アナウンスが返ってくる)
メールアドレスが使用されていると分かれば、それをリスト攻撃に使用することで攻撃の精度が上げられるはずです。
つまり、パスワードを提示してくるメールが来たら、速やかにそのパスワードを使用しているサイト、サービス等でパスワード変更するべきでしょう。
