ファウラー氏の通知を受け、ワールドホストグループはデータベースへの一般アクセスを制限した。同社はWiredに対し、データベースは「不正ユーザー」と呼ばれる顧客によって運営されており、その顧客はサーバーに違法な情報をアップロードしたと述べた。

これらの認証情報が本物であり、単なる偽造データではないことを確認するため、ファウラー氏はデータベースで発見したメールアドレスの一部に実際に連絡を取りました。いくつかの情報を入手し、それらのユーザーは、ファウラー氏が発見した自分のメールアドレスに関連付けられた記録を確認することができました。1億8416万2718件の記録すべてが正確であるとは保証できませんが、大部分が正確であることは良い兆候です。つまり、あなたや私の認証情報がこのデータベースで漏洩していた可能性は十分にあります。さらに悪いことに、ファウラー氏によると、データベースが閉鎖されるまでどれくらいの期間公開されていたかは不明だそうです。

悪意のある人物やハッカーは、この種の情報を使って様々なことを実行できます。もしあなたのアカウントのユーザー名とパスワードの組み合わせがわかれば、そのアカウントへの侵入に使えるかどうかを調べるだけでなく、あなたの他のアカウントにも悪用するでしょう。多くの人がパスワードを使い回しているように、もしあなたがパスワードを使い回しているなら、大規模な情報漏洩に直面する可能性があります。FacebookやRobloxのアカウントだけでも十分に深刻な状況ですが、今回は金融機関、医療、さらには政府機関のアカウントまでもが不正アクセスされたことを考えると、その影響は甚大です。

自分を守る方法

データベースにアクセスできない場合は、自分の資格情報がそこにリストされているかどうか、または相手がどのような資格情報を持っているかを確実に知ることはできません。

それでも、しばらくアカウントのパスワードを変更していない場合は、今すぐ変更する良い機会かもしれません。従来のセキュリティアドバイスほど頻繁にパスワードを変更する必要はありませんが、アカウントの簡単なセキュリティ監査を実施しても損はありません。

各アカウントには、強力で固有のパスワードを設定してください。パスワードを重複して使用すると、クレデンシャルスタッフィング（ハッカーが盗んだ同じパスワードを複数のアカウントで試す）の危険があります。パスワードを常に監視するために、安全なパスワードマネージャーを使用してください。

2要素認証（2FA）に対応しているすべてのアカウントで、必ず2FAを使用してください。そうすることで、たとえパスワードが漏洩したとしても、2FAコードが保存されたデバイスがなければ、ハッカーはアカウントに侵入できません。セキュリティを強化するには、可能な限りSMSベースの2FAを避け、認証アプリや物理的なセキュリティキーなど、より安全な2FAオプションを選択してください。アカウントでパスキーがサポートされている場合は、パスワードの利便性と2FAのセキュリティを兼ね備えたパスキーを試してみてください。

次の記事へスクロールしてください