CyberNewsは7月4日(現地時間)、「RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews」において、ハッキングフォーラムから約100億件の漏洩パスワードが公開されたと伝えた。これは「ObamaCare」と名乗る脅威アクターが「RockYou2024パスワードコンピレーション」として公開したもので、過去に公開されたRockYou2021に新しい漏洩パスワードを追加したとみられる。

  • RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews

    RockYou2024: 10 billion passwords leaked in the largest compilation of all time|Cybernews

2021年は約84億件の漏洩パスワードが公開

2021年にハッキングフォーラムに投稿されたRockYou2021パスワードコンピレーションには、約84億件の漏洩パスワードが含まれていたとされる。つまり、今回はわずか3年ほどで15億件を追加したことになる。

CyberNewsによると、今回公開されたRockYou2024には9,948,575,739件の漏洩パスワードが含まれていたという。これはパスワードの漏洩データセットとしては最大規模とみられている。なお、今年初めにはパスワード以外の情報を含む約260億件の侵害データセットが漏洩している(参考:「260億件以上の漏洩データを発見、過去最大規模の可能性 | TECH+(テックプラス)」)。

防衛策

CyberNewsはすべてのユーザーに対し、次の対策を実施することを推奨している。

  • 漏洩パスワードチェッカー「Leaked Password Check: Has My Password Been Hacked?」を使用して、パスワードが漏洩しているか確認する
  • 漏洩している場合は一意で強力なパスワードに変更する
  • 多要素認証(MFA: Multi-Factor Authentication)を利用する
  • パスワードマネージャーを使用してパスワードの生成、管理を行う。ただし、Webブラウザに標準搭載のパスワードマネージャーは使用しない

CyberNewsは、すでに今回公開されたRockYou2024を漏洩パスワードチェッカー「Leaked Password Check: Has My Password Been Hacked?」に統合している。現在は約330億件のパスワードが登録されており、ユーザーはこの膨大なデータベースから漏洩の有無を確認することができる。

漏洩したパスワードは脅威アクターのクレデンシャルスタッフィング(Credential stuffing)攻撃に悪用される可能性がある。これまでに多くの企業や組織が被害に遭っており、すべてのユーザーに積極的な防衛策の実施が望まれている。