ビジネス向けソーシャルネットワーキングサイト「LinkedIn」でのデータ漏洩により、インターネット上に投稿された646万件のパスワードの中に自分のパスワードが含まれているのではないかと心配するユーザーを狙ったスパム攻撃が始まった。
このスパム キャンペーンでは LinkedIn からのメッセージであるかのように見せかけたサービス メッセージが使用されていますが、データ侵害とスパム メッセージの間に関連性は確認されていません。
「同様のメールはしばらく前から出回っているため、これが(水曜日に)公表されたセキュリティ侵害を利用するために仕組まれた組織的な詐欺なのか、それとも単なる偶然(バンク・オブ・アメリカのオンラインバンキング口座を開設した2日後にパスワード再設定を求めるフィッシングメールを受け取ったようなもの)なのかを判断するのは難しい」と、Esetのセキュリティ研究者キャメロン・キャンプ氏は同社のブログに記した。
LinkedInからの偽のメッセージは、サイトからの本物のメッセージのように巧妙に細工されており、受信者にメールアドレスの確認を求め、確認のためのリンクが含まれています。リンクをクリックすると、バイアグラなどの医薬品を販売する違法オンライン薬局へと誘導されます。
このキャンペーンは、システムへの大規模な侵入によって影響を受けた会員とのコミュニケーションに電子メールを使用してきたLinkedInにとって最悪のタイミングで発生した。
メール内のリンクをクリックすることはセキュリティ上好ましくない行為であることを認識し、LinkedInは2段階のプロセスを採用しています。侵害の影響を受けたユーザーは、まずリンクのないメールを受け取ります。このメールには、パスワードをリセットする必要があることと、その手順が記載されています。
これらの手順を完了し、パスワードのサポートをリクエストすると、メンバーはパスワード リセット リンクを含む 2 番目の電子メールを受信します。
「パスワードを更新した影響を受けたメンバーと、パスワードが侵害されていないメンバーは、現在のパスワードデータベースのハッシュ化とソルト化を含む、最近導入した強化されたセキュリティの恩恵を受けていることは注目に値します」と、LinkedInのディレクター、ビセンテ・シルベイラ氏は同社のブログに書いている。
情報漏洩が発覚した際、LinkedInは会員のパスワードハッシュに「ソルト」を適用していなかったとして批判されました。パスワードをハッシュ化すると、肉眼では判読できないように暗号化されます。しかし、ハッシュ化方式では、同じパスワードに対して同じハッシュが生成されます。そのため、SHA-1などの暗号化方式を使用しているすべてのサイトで、「linkedin123」のようなパスワードは、すべてのサイトで同じハッシュ値を持つことになります。そのため、適切な参照ツールを使用すれば、ハッシュ値を簡単に解読できてしまうのです。
ハッシュにソルトを追加すると、ハッシュにランダムな文字が追加されます。これにより、ハッシュはそれぞれ固有のものとなり、解読がはるかに困難になります。
今週、ハッカーの標的となったウェブサイトはLinkedInだけではありません。オンライン出会い系サイトeHarmonyも侵入され、150万件のパスワードハッシュがウェブ上に公開されました。
ハッカーは通常、解読に苦労しているハッシュをインターネットに投稿し、パスワードの解読を同僚に手伝ってもらいます。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
