パスワードを忘れた? アカウント作成
11555645 story
Google

500万件のGmailアカウントとパスワードが流出? 44

ストーリー by hylom
Googleは不正侵入を否定 部門より
koshian 曰く、

ロシアのbitcoinフォーラムに、500万のGmailアカウントとパスワードのセットが流出したという話が投稿されていると The Dayly dotが伝えています。国内でも、日経ITproなどがこれを伝えています。

現在ダウンロードできるファイルはパスワードが消されたもののようですが、7z で圧縮されても30MBほどもある膨大なもの。これが本物なのかどうか、本物なのであればなぜ生パスワードが流出したのかなど、謎が尽きません。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年09月11日 18時10分 (#2674975)

    500万件のGoogleアカウントとそのパスワードが漏れたのではなく、
    過去に他サイトから漏れたメアドとパスワードのセットをかき集めたら
    アカウントの登録メアドがGmailメアドだったものが500万件あっただけです。

    ガチで悪質なデマなわけですが、
    今の時期どこがこーゆーの流すと得するんでしょうね。
    そういう観点で見る以外に価値はありませんね。

    • by Anonymous Coward on 2014年09月11日 18時16分 (#2674980)

      適当に500万件集めたら、公開直後は2%も有効だった、というのは結構怖い話ですけどね。

      親コメント
      • by Anonymous Coward on 2014年09月11日 18時22分 (#2674984)

        メアドが2%有効だったのか、
        メアドとパスワードのせっとが2%有効だったのかで、
        意味が違いますよね。
        後者なら、他社のデータにGmailアカウントと同じパスで登録してたというありがちなケースが2%「も」あったというヤバイことに。

        親コメント
        • 後者でも、2%しか居ないなら素晴らしい事だと思います。

          親コメント
        • by Anonymous Coward

          下のコメに、有効だったアカウントはリセットしたとあるので、
          とりあえずGmailについては問題ないようです。
          Gmailアドレスをアカウントに使ったほかのサイトの問題は、Googleのせいじゃないものねえ。

        • by Anonymous Coward

          この教訓は
          ・IDはできるだけありふれているものがいい
          ってことでは。

          IDがユニークでかつ、IDとパスワードを使いまわしていたらどうしようもない。IDが汎用的で他人とかぶっていたら、それだけリスクが薄まるわけだし。まあ、使いまわすなって話だけど、Gmailのアカウントを取得する動機によっては、Gmailが乗っ取られても痛くもかゆくもない人も一定数存在するはずだから、どうでもいいんでしょうね。

          • by Sune (7520) on 2014年09月12日 14時19分 (#2675507)

            さきに書かれたとおり、この件に関して言えばメールアドレスだからユニークです。

            一般的なリスクとして考えた場合、同じIDに紐付くパスワードの数が増えるだけでこうした攻撃に対してリスクが薄まることはありません。

            親コメント
          • by Anonymous Coward

            googleのID=gmailのメールアドレスなので、ユニークにならざるを得ないのでは。

            • by Anonymous Coward

              GoogleのIDはGmail以外のメールアドレスも使えます。
              ユニークはそのとおりですが。
              でも元コメントの主旨はそうじゃないですね。

      • by Anonymous Coward

        いくつのサイトから集めたのか知らないけど、Gmailだけで500万件ものパスワードが平文で保存されていたことが驚きだよ

    • >アカウントの登録メアドがGmailメアドだったものが500万件あっただけです。

      それが分かるのはあとの話。
      当初それがGmailから漏れた可能性を想定するのは、「悪質なデマ」とは言わんだろう。

      親コメント
      • by Anonymous Coward

        いいえ、悪質なデマです。

        まず、そもそもの情報の出元は
        「Googleアカウントをクラックした」と言っていますがデマです。

        つぎに、それに踊らされたことになっているメディア、
        このタレコミも、程度は軽くなってもやはりデマです。
        デマの拡散に協力するものには当然責任があります。
        さもなければ、
        都合のいいソースを見つけたらなんでも叩き放題、
        そういうソースを他人を装って誰かに書かせればなんでも情報工作放題になってしまいます。

        • by Anonymous Coward

          うーん [wikipedia.org]、狭義(原義)のデマかどうかは情報不足かな。
          広義は広すぎて何でもいえますね。

          まぁ間違いは間違いでいいじゃない。
          早急に訂正、謝罪しないのが悪質って事で。

          • by Anonymous Coward

            > まぁ間違いは間違いでいいじゃない。
            > 早急に訂正、謝罪しないのが悪質って事で。

            扇動含めてわざとデマ流してる連中が訂正も謝罪もするわけないじゃん。
            する羽目になったら別のところからまたデマ流す。
            一般人側はそういう連中を徹底して批判することだけが正しい。

    • by Anonymous Coward

      hylomなので平常運転ですよ。
      誰が得するとかも考えすぎです。
      普通にMS関係の記事でもやらかしてますので。

    • by Anonymous Coward

      Gmailのパスワードを使いまわしていた人が2%ほどいたと。

      • by Anonymous Coward on 2014年09月11日 20時44分 (#2675075)

        > Gmailのパスワードを使いまわしていた人が2%ほどいたと。

        そして統計的に観れば、メアドがログインIDのサービスでは
        すべてのサービスにおいて利用者がパスワードを使いまわす確率はそんなもんであって
        Googleだけ叩こうとするのはお門違いと。

        さて、じゃあAppleでも叩いてみてもらえません?
        2%程度はパスワード使いまわしてるでしょうし。

        親コメント
        • by Anonymous Coward

          ニコ動から不正ログインされてるって連絡が来て
          確かに使いまわしてるメアドとパスワードだったから
          とりあえずパスワードの使いまわしやめた

          スラドも同じ組合せだけど変えてない
          個人情報登録してないところは別にどーでもいいわ

          • by Anonymous Coward

            そしてそのアカウントが悪用されたりしてね。
            捨てアカについてもそれなりの責任を持って扱わないといけないんじゃないんですかね。

        • by Anonymous Coward

          googleを叩いてますかね?
          単にこういうことがあったよ、と報じられているだけでしょうに。
          報道された=叩き、なんですか?

          • by Anonymous Coward

            だたのGoogle信者だろ
            信仰を試されてるんで必死なんだよ

          • by Anonymous Coward

            単にこういうことがあったよ、と報じられているだけでしょうに。

            お前には「500万件のGmailアカウントとパスワードが流出」した」と報じられているように読めるのか?

    • by Anonymous Coward
      >ガチで悪質なデマなわけですが、
      >今の時期どこがこーゆーの流すと得するんでしょうね。

      はっ!さてはベネッセか!
    • by Anonymous Coward

      ソースは?
      大本営 (Google) 発表のみ?

  • by Anonymous Coward on 2014年09月11日 17時48分 (#2674961)

    Internet Watch: 約500万件のGmailアカウントとするリストが公開、Googleはシステム侵害を否定
    http://internet.watch.impress.co.jp/docs/news/20140911_666325.html [impress.co.jp]

    セキュリティホールmemoでも取り上げられてますね。
    http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/09.html#20140911__Gmail [ryukoku.ac.jp]

    • > Cleaning up after password dumps (Google, 9/10)。
      > 当該「漏洩データ」のうち、実際に有効なものは 2% 未満だったそうで。
      > 該当アカウントについてはリセット処置がなされたそうです。
      > Gmail 利用者は、この件についてはあわてる必要はありません。

      そうなんだ。Gmail限定の話だよね。
      もし自分のメールアドレスとパスワードが他で使っていたとしたら、ほかのサービスで侵入される可能性がある。

      # これを機にパスワードのルール変えた

      親コメント
  • by Anonymous Coward on 2014年09月11日 18時03分 (#2674970)

    30MB / 0.1 = 300MB
    これが500万件分(=5M件分)だから1人あたり60byte

    アカウント名とパスワードの組なら確かにそんなもんか・・・

    • 103MB 108,763,323 バイト です。

      メールアドレスだけですよ。

      親コメント
      • by Anonymous Coward

        4929090件ありましたね。適当に解析してみました。
        空行が63件。

        "[a-z0-9.].*@[a-z0-9.]*" に4927658件、
        うち"@gmail.com$"が4799784件。

        grep -v "@\|^$" すると、不審な文字列が1326件出てきました。
        「どれかのパスワード」かどうか分かりませんが。

    • by Anonymous Coward

      パスワードは消されて、アカウント名だけでは?

  • by Anonymous Coward on 2014年09月11日 18時35分 (#2674992)

    同じパスワードのもの集めて、あーこのアドレスあいつのだったのね!ってなっちゃうこともあるかもね。

  • by Anonymous Coward on 2014年09月11日 18時54分 (#2675004)

    >>「公開されたユーザー名およびパスワードのうち、有効なものは2%に満たない」

    ユーザー名はともかく、パスワードも有効なものが見つかった?
    って、どうやって調べたのかしらん?

    • by ymasa (31598) on 2014年09月11日 19時20分 (#2675024) 日記

      > ユーザー名はともかく、パスワードも有効なものが見つかった?
      > って、どうやって調べたのかしらん?

      Googleが持っている情報と照らし合わせたんでしょうね。

      親コメント
      • by Anonymous Coward

        Googleはユーザーのパスワードを知らないってことになってたような。

        • by Anonymous Coward

          パスワード知らなくてもパスワードの照合はできると思いますよ。

          • by Anonymous Coward

            できなかったらどうやってログインするんだって話になるよね。

          • by Anonymous Coward

            ハッシュ値しかもってなかったら照合できないと思ったんだろう。

            次に#2675058は「それならsaltがあるから時間がかかる筈だ」と言う。

  • by Anonymous Coward on 2014年09月11日 23時34分 (#2675156)

    新型 iPhone に アップル時計が発表されるタイミングでこんな事件が起きるなんて!
    一体何者がリークしたのだろー

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...