LivingSocialは先週、5,000万人の顧客アカウント情報がサイバー攻撃によって漏洩したと発表しました。この事態に対処するため、LivingSocialは顧客に通知を送り、ユーザーのパスワードをリセットして新しいパスワードの作成を促しました。
パスワードを変更することだけが唯一の懸念事項であると信じるのは間違いです。
LivingSocial によれば、顧客データサーバーへの不正アクセスにより、5,000 万人の顧客の名前、電子メールアドレス、生年月日、暗号化されたパスワードが入手されたが、同社は、その情報は攻撃者がアクセスしていない別のサーバーに保存されているため、顧客のクレジットカード情報は漏洩していないと強調している。
パスワードは暗号化されているため、直ちに問題となることはないとされています。LivingSocialは、パスワードはSHA1暗号化でハッシュ化されていると説明しています。残念ながら、「直ちに」という定義はあまり慰めにならないかもしれません。Evernoteが同様の攻撃を受けた際、セキュリティ専門家のブライアン・クレブス氏は、標準的なハッシュアルゴリズムの解読は攻撃者にとって容易であり、攻撃を長期間遅らせることはできないだろうと指摘しました。
しかし、一体何のために?もし攻撃者があなたのLivingSocialアカウントに侵入し、パスワードを解読できたとしましょう。彼らは一体何をするのでしょうか?スパの割引プランを予約したり、あなたに代わってレーザー脱毛の割引プランを申し込んだりするのでしょうか?アカウントにアクセスできれば、攻撃者はアカウントの詳細情報を変更して別のメールアドレスや連絡先情報を入手することも可能ですが、それは彼らを捕まえるための足跡を残してしまうため、非常に愚かな行為です。
アカウントにアクセスできたとしても、攻撃者は保存されているクレジットカード番号の下4桁しか取得できないはずなので、クレジットカード情報が漏洩して他の場所で不正利用されるという懸念はほとんどありません。より深刻な懸念は、攻撃者がLivingSocialアカウントで何ができるかではなく、個人情報で何ができるかです。
LivingSocialのパスワードを変更してください。さらに重要なのは、同じパスワードを使用している他のすべてのアカウントのパスワードも変更することです。セキュリティのベストプラクティスを無視し、複数のサイトで同じパスワードを使用していた場合、LivingSocialの侵害は、あなたにとってより深刻な結果をもたらす可能性があります。
パスワードの漏洩はリスクの一面に過ぎません。だからこそ、パスワードを変更しても本当の意味での救済にはならないのです。このアカウントにアクセスした攻撃者は、あなたの名前、メールアドレス、そして生年月日を入手しています。これらは、個人情報を盗むための十分な情報です。幸いなことに、郵送先住所と社会保障番号は漏洩していませんでした。そうでなければ、犯罪者はさらに大きな被害をもたらすために必要な情報をすべて入手していたでしょう。
常に警戒を怠らず、メール、銀行口座、信用情報など、身元に何か不審な点があれば警告を発する情報源に注意してください。 パスワードを変更するだけで済むと勘違いしないでください。
