自分の電子メールアドレスや電話番号が過去のセキュリティインシデントで漏洩したデータに含まれているかどうかを調べることができるWebサイトに「Have I Been Pwned: Check if your email has been compromised in a data breach」がある。こうしたサービスを提供しているサイトはいくつかあるが、「Have I Been Pwned」は古くから存在し、広く使われている。

Have I Been Pwnedを運営しているTroy Hunt氏は4月27日(米国時間)、「Troy Hunt: Data From The Emotet Malware is Now Searchable in Have I Been Pwned, Courtesy of the FBI and NHTCU」において、米連邦調査局(FBI: Federal Bureau of Investigation)から、Emotetの被害にあった個人や企業のデータを受け取ったと伝えた。Emotet停止作戦の一環として得られたデータに関して、FBIからHave I Been Pwnedを活用して被害者へ通知を行うことができないか連絡を受けた結果としている。提供された電子メールアドレスは4,324,770件、さまざまな国やドメインが含まれるとされている。

Have I Been Pwnedは2018年にエストニアの中央警察から似たような目的でデータの提供を受けており、今回のFBIから提供されたデータも似たような経緯をたどっている(参考「Troy Hunt: Data Provided by the Estonian Central Criminal Police is Now Searchable on Have I Been Pwned」)。

  • Troy Hunt: Data From The Emotet Malware is Now Searchable in Have I Been Pwned、Courtesy of the FBI and NHTCU

    Troy Hunt: Data From The Emotet Malware is Now Searchable in Have I Been Pwned, Courtesy of the FBI and NHTCU

2021年に入ってからFBI、オランダ国家高次技術犯罪ユニット(NHTCU)、ドイツ連邦刑事警察局(BKA)、そのほか国際的な法執行機関が協力して、世界的に猛威を奮っていたマルウェア「Emotet」の活動を停止させるオペレーションを実施した。Emotetは2014年から世界的に活動していたマルウェアで、多くの個人や組織が影響を受けた。このマルウェアは当局らの活動によって、2021年2月には主な活動を停止している。

Have I Been PwnedとFBIは、「Have I Been Pwned: Check if your email has been compromised in a data breach」のサービスを利用して通知を受けるなどして、自分がデータ漏洩やマルウェア攻撃の被害者であることがわかった場合に取るべき行動として、次のガイダンスを示している。

  1. アンチウイルスソフトウェアといったセキュリティソフトウェアの定義データを最新の状態に保つ。
  2. メールアカウントのパスワードを変更する。受信トレイやブラウザに保存されているアカウントのパスワードを変更する。銀行など価値の高いアカウントのパスワードやセキュリティ質問を変更する。
  3. Emotetの被害を受けたユーザーを抱える管理者は、ドイツ連邦刑事警察局が発表した「BKA - Startseite - YARA-Signatur zur Identifizierung der Emotet-Malware」を確認する。

また、上記ガイダンスに加えて、典型的な次のセキュリティプラクティスも、セキュリティインシデントの被害者になっているかどうかにかかわらず大切としている。

  • パスワードマネージャを使って強力でユニークなパスワードを作成する。
  • 利用可能な場合は2要素認証を有効化する。
  • オペレーティングシステムとソフトウェアにパッチを当て続ける。

今回FBIから提供されたデータは、サイバー犯罪者による攻撃を避けるために機密データとして取り扱われており、検索からは調べることができないようになっているという。Emotetに関する攻撃の影響を受けているかどうかは、電子メールアドレスを登録して通知サービスを利用するか、ドメイン検索を行う必要があるとされている。