サイバーセキュリティ研究者のジェレミア・ファウラー氏は木曜日、「パスワード保護も暗号化もされていない、公開されたデータベース」を発見したと報告しました。このデータベースには、Facebook、Instagram、Microsoft、Roblox、Snapchatなどのサービスの1億8,400万件以上の固有のユーザー名とパスワードが含まれていました。ファウラー氏の発見に関するWiredの報道によると、このデータベースにはAppleに加え、Amazon、Nintendo、Snapchat、Spotify、Twitter、WordPress、Yahoo!、銀行、医療サービス、政府機関のポータルサイトなどのログイン情報も含まれていたとのことです。
ファウラー氏はデータベースの目的を特定できず、ホスティングプロバイダに報告したところ、プロバイダはデータベースへの一般公開を制限しました。また、データベースがどれくらいの期間公開されていたのか、誰が使用していたのかも特定できませんでした。ファウラー氏は、発見したメールアドレスと、データ侵害を調査している研究者であることを本人確認することで、データベース内の情報の真正性を確認することができました。
ファウラー氏の説明によると、今回の侵害には、漏洩したデータが何らかのインフォスティーラーマルウェアによって収集されたことを示す「複数の兆候」が見られるという。インフォスティーラーマルウェアは「通常、ウェブブラウザ、メールクライアント、メッセージングアプリに保存されている認証情報(ユーザー名やパスワードなど)を標的とする」という。データの収集方法については、「サイバー犯罪者はインフォスティーラーを展開するために様々な手法を用いている」とファウラー氏は述べている。
自分を守る方法
知らない人や予期しない送信元から届いたメールやテキスト内のリンクは絶対に開かないでください。取引先からのメールのように見える場合は、送信者のメールアドレスを確認し、URLを注意深く確認してください。リンクやボタンが表示されている場合は、Controlキーを押しながらクリックし、「リンクをコピー」を選択してテキストエディタに貼り付けると、実際のURLが表示され、確認できます。
フィッシング攻撃では、ユーザーが誤ってURLを入力したウェブサイトにアクセスしてしまうことがよくあります。そのため、ブラウザに入力したURLを確認してください。頻繁にアクセスするサイトをブックマークに登録しておけば、毎回URLを入力する手間が省けます。場合によっては、検索エンジンを使って訪問したい場所の名前を入力し、リンク先のURLを確認してからクリックすることもできます。例えば、検索エンジンに「Macworld」と入力し、[removed-link]で指定されたリンクをクリックします。この方法はそれほど効率的ではありませんが、入力ミスをしても検索結果に表示され、Googleが正しい方向に誘導してくれます。
マルウェアから身を守るために、GitHubなどのリポジトリやその他のダウンロードサイトからソフトウェアをダウンロードするのは避けましょう。Mac App StoreはAppleがソフトウェアを審査しており、アプリを入手する最も安全な方法です。Mac App Storeを利用したくない場合は、開発者のウェブサイトから直接ソフトウェアを購入してください。クラックされたソフトウェアの使用に固執すると、マルウェアに感染するリスクが常に存在します。
AppleはOSアップデートを通じてセキュリティパッチをリリースしているので、できるだけ早くインストールすることが重要です。Mac上のアプリもアップデートすることが重要です。App Storeまたはアプリの設定からアップデートできます。Macworldには、ウイルス対策ソフトウェアが必要かどうかのガイド、Macのウイルス、マルウェア、トロイの木馬のリスト、Macセキュリティソフトウェアの比較など、役立つガイドがいくつか掲載されています。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
