茨城県警は16日、電気通信事業法違反で昨年5月に逮捕し、略式起訴された女性(28)=同県行方市=の自宅から押収したサーバーコンピューターから、ウェブサイトのログインIDとパスワードの組み合わせ約6500万件が見つかったと発表した。IDやパスワードを使って利用者になりすましてログインを試みる「リスト型攻撃」のプログラムもコンピューターから確認され、県警は流出の経緯などを調べている。
県警サイバー犯罪対策課によると、女性は数人で共謀し、国に届けず国内外から日本のサーバーへの接続を中継する通信設備を自宅に設置、運営したとして昨年5月に逮捕された。女性は「中国の人から頼まれた」と話しているといい、県警は、プログラムの作成などを行った人物が背後にいるとみて捜査している。約6500万件のうち約8割は日本国内で使用されているものとみられる。
現時点で不正アクセスによる被害は確認されていないが、入手したIDやパスワードを悪用した「リスト型攻撃」が行われた可能性は高いという。見つかったプログラムは、民間企業のメールサービスや仮想通貨交換業者を攻撃するためのもので、ログインできるIDとパスワードの組み合わせを見つけたり、自動的に分類したりする機能を備えていた。
県警は、複数のウェブサイトで同じパスワードを使い回すことなどは避けるよう呼びかけている。