Comparitechは12月10日(米国時間)、「2.7 billion email addresses exposed online, 1 billion+ include passwords」において、27億件を超える電子メールアドレスを含んだ巨大なデータベースが誰でもアクセスできる状態だったと伝えた。さらに、それらレコードのうち、10億件以上に平文のパスワードも含まれていたという。

データベースの所有者は不明なままだが、対象のデータベースは該当するサーバをホストするISP経由ですでに削除されている。

誰でもアクセスできるようになっていたパスワードのサンプル - 資料: Comparitech


Comparitechは調査の結果、今回発見されたこの大規模な電子メールアドレスデータは、2017年1月に発見された、いわゆる「Big Asian Leak(ビッグアジアリーク)」に関連するものではないかという推測を伝えている。

27億件という膨大な数の電子メールアドレスを含んだこのデータベースファイルは、少なくとも2019年12月1日から2019年12月9日までの間はインターネット経由で誰でもアクセス可能な状況にあったことがわかっている。

実際にどの程度の期間さらされていたが、誰がこのデータを入手したのか、経緯も状況もわかっていない。ただし、このデータベースはリアルタイムで更新されていたとされており、発見当初は26億件だったデータが、最終的には27億件まで増加したとされている。

データベースに含まれている電子メールアドレスは中国ドメインのものが多いとされているが、それ以外のドメインも含まれていたとされており注意が必要。自分の使っている電子メールアドレスがこうしたデータ漏洩の対象になっていないか調査することが望まれる。Mozillaの提供している「Firefox Monitor」や「Have I Been Pwned?」を使えば、データ漏洩の有無をチェックすることができる。

- 「Have I Been Pwned?」の画面。調べたメールアドレスが漏洩していることがわかった画面 資料: Comparitech