アカウントとパスワードの漏えいが後を絶たない。どんなに堅固なセキュリティシステムを築きあげても、本人であることを前提に権限が付与されてしまうIDとPassが他人の手に渡ると台無しになる。世界各地、過去に報じられたこれらID/Passの情報漏えいは、数百万から数十億件までと途方もない件数にのぼる。日本の企業や官公庁にはまったく関係無いのだろうか?

ソリトンシステムズは、合法的に入手できるデータを付け合わせることで調査分析を行うオープン・ソース・インテリジェンス(OSINT)手法をもとに、国内初となる「漏えいアカウント調査サービス」を提供開始することを5日、発表した。サービスは、同社独自開発のSoliton CSA(Cyber-Space Analytics/サイバー空間アナリティクス)基盤を応用する最初の分析サービスで、日本の組織ID/公用メールアドレス/パスワードの漏えい被害に焦点を絞ったものになる。

サービスシステム概要(サービス公式サイトより)

OSINTの手法を参考に日本における膨大なサーバーセキュリティ情報を収集、整理・解析・分析するために開発した基盤で、「漏えいアカウント調査サービス」では、発表時時点で世界50件以上のハッキング事件から25億以上のアカウントを特定し、分析対象としている。アカウントはファイアウォールの外側にある組織外部のWebの世界で盗まれたものだが、企業や官公庁では当然、業務必要に応じてこれらを利用する場合がある。こららの分析がサービスとして提供される。

「世界のハッキング事件による 日本のアカウント情報漏洩分析」(ソリトンシステムズ公式サイト)

同社では、OSINT手法や過去の情報漏えい事件を詳細にまとめたPDFを公開しており、".jp"が付属するメールアドレスを含む漏えいアカウント数を被害サービスの一部の例として示してあるが、軽く1,000万を超えるアカウントが.jp属性であることがわかる。

情報が漏れていれば、誰にも悟られずに不正アクセスされる可能性、なりすましによって業務システムを操作されるリスクなど組織にとって大きなリスクが眠っていることを意味する。またメールなどPASS/IDが漏えいすると、業務上の機密や標的型攻撃利用される情報など新たなハッキングのための情報も出回っている可能性がある。

なお、調査サービス費用ドメインあたり198,000円(税別)からで、自身が所属する組織、または資本関係など関連の深い組織に限定される。