ブログ - Have I Been Pwned からのメール
メールアドレスが漏洩しているかチェックできるサイトHave I Been Pwned(HIBP)に漏洩を発見したら通知するように登録していたのだけど,通知が来ました.
Have I Been Pwned
https://haveibeenpwned.com/
カリフォルニアにあるセキュリティ会社のSynthientが漏洩した情報を集めて登録した模様.その中に,ピーティックスの不正アクセス事件で漏洩したメアドが再度含まれていた模様.
通知内容と漏洩情報を確認してみる.まずは通知のメール.
引用:
Have I Been Pwned
https://haveibeenpwned.com/
カリフォルニアにあるセキュリティ会社のSynthientが漏洩した情報を集めて登録した模様.その中に,ピーティックスの不正アクセス事件で漏洩したメアドが再度含まれていた模様.
通知内容と漏洩情報を確認してみる.まずは通知のメール.
引用:
An email on メアド漏洩ドメイン has been pwned in the Synthient Credential Stuffing Threat Data data breach
You signed up for notifications when emails on メアド漏洩ドメイン were pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:
メアド漏洩ドメイン のメールアドレスが、Synthient Credential Stuffing 脅威によるデータ侵害で盗まれました。
メアド漏洩ドメイン のメールアドレスがデータ侵害で盗まれた際に通知を受け取るようご登録いただいておりましたが、残念ながらそのデータ侵害が発生しました。この侵害について、現在わかっている情報は以下のとおりです。
Breach: Synthient Credential Stuffing Threat Data
Date of Breach: April 2025
Breached Accounts: 1.96 billion
Your Accounts: 1
Compromised Data: Email addresses, Passwords
Description: During 2025, the threat-intelligence firm Synthient aggregated 2 billion unique email addresses disclosed in credential-stuffing lists found across multiple malicious internet sources. Comprised of email addresses and passwords from previous data breaches, these lists are used by attackers to compromise other, unrelated accounts of victims who have reused their passwords. The data also included 1.3 billion unique passwords, which are now searchable in Pwned Passwords.
脅威インテリジェンス企業Synthientは、2025年中に、複数の悪意あるインターネットソースから発見されたクレデンシャルスタッフィングリストで公開された20億件の固有のメールアドレスを集約しました。これらのリストは、過去のデータ侵害で使用されたメールアドレスとパスワードで構成されており、攻撃者はこれらのリストを使用して、パスワードを使い回している被害者の無関係なアカウントに侵入します。このデータには13億件の固有のパスワードも含まれており、現在Pwned Passwordsで検索可能です。
Pwnedのダッシュボードにアクセスしてみる.
虫メガネボタンをクリック.
Peatixで漏洩したのと,今回Synthient Credential Stuffing Threat Dataで記録されたデータが登録されているとのこと.
Synthient社が記録した分を確認してみる.
引用: メールで記録されていた以上のものはないけど,今回はSynthientとHIBPで協力して登録したということの模様.
クレデンシャルスタッフィング攻撃を受けるので,この場合は一応,メアドのパスワードと,そのメアドでログインしている有名サイトがあれば,そこもパスワード変更が必要.
クレデンシャルスタッフィング攻撃(Credential Stuffing)
https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/52.html
引用:
虫メガネボタンをクリック.
Peatixで漏洩したのと,今回Synthient Credential Stuffing Threat Dataで記録されたデータが登録されているとのこと.
Synthient社が記録した分を確認してみる.
引用:
Working to turn breached data into awareness, Synthient partnered with HIBP to help victims of cybercrime understand their exposure.
侵害されたデータを認識に役立てるために、Synthient は HIBP と提携して、サイバー犯罪の被害者が自分たちの危険を理解できるように支援しました。
クレデンシャルスタッフィング攻撃を受けるので,この場合は一応,メアドのパスワードと,そのメアドでログインしている有名サイトがあれば,そこもパスワード変更が必要.
クレデンシャルスタッフィング攻撃(Credential Stuffing)
https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/52.html
引用:
「漏洩したアカウント資格情報を悪用し、他のサービスへ不正アクセスを行う攻撃」
