監修者 
デジタルコンテンツの保存と公開を行う非営利団体であるインターネットアーカイブは10日、同社が運営するWayback Machineが大規模なサイバー攻撃を受け、3100万人以上のユーザー情報が流出したと発表した。
攻撃の詳細と流出した情報
今回の攻撃では、ユーザー認証データベースが侵害され、ユーザー名、メールアドレス、暗号化されたパスワードなどの情報が流出した。データ侵害通知サービス「Have I Been Pwned」の創設者トロイ・ハント氏によると、流出した情報の54%は過去の侵害事件で既に漏洩していたという。
攻撃は9月に行われたとされるが、10日になって初めて公になった。ハッカーは不正なJavaScriptポップアップを使用して攻撃を行い、「インターネットアーカイブが壊滅的なセキュリティ侵害を受けた」と主張した。
インターネットアーカイブの対応
インターネットアーカイブの創設者ブリュースター・カール氏は、Xで状況を説明し、対応策を発表した。
What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.
What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.
Will share more as we know it.
— Brewster Kahle (@brewster_kahle) October 10, 2024
「現在判明していること:DDoS攻撃(現在は防御済み)、JSライブラリを介したウェブサイトの改ざん、ユーザー名/メール/ソルト化・暗号化パスワードの侵害。対応策:JSライブラリの無効化、システムのスクラビング、セキュリティのアップグレード。」
インターネットアーカイブは1996年に設立された非営利団体で、ウェブサイトやソフトウェアアプリケーションなどのデジタル資料を無料で提供している。
特にWayback Machineは数十億のウェブページを保存しており、デジタル記録を将来世代のためにアクセス可能な状態で維持することを目指している。
ユーザーへの影響と対策
今回の侵害により、ユーザーのプライバシーとセキュリティが脅かされる可能性がある。使用しているメールアドレスを調査することで、どのサービスから流出したか、確認することもできる。
流出の可能性のあるサービスを利用しているユーザーは、以下の対策を検討すべきだ。
- パスワードの変更:インターネットアーカイブのアカウントだけでなく、同じパスワードを使用している他のサービスも含めて変更する。
- 二段階認証の有効化:可能な限り、すべてのオンラインアカウントで二段階認証を設定する。
- フィッシング詐欺に注意:攻撃者が流出した情報を使って、標的型フィッシング攻撃を仕掛けてくる可能性がある。不審なメールやメッセージには十分注意する。
インターネットアーカイブは今後も状況の調査を続け、新たな情報が判明次第、ユーザーに通知するとしている。ユーザーは公式サイトやSNSアカウントを定期的にチェックし、最新の情報と指示に従うことが重要だ。
