Latest evidence-based health information
Sitemap
Iphone

LeakedIn WebアプリがLinkedInのパスワード漏洩をチェック

Otpoo
Otpoo xumh
LeakedIn WebアプリがLinkedInのパスワード漏洩をチェック
LeakedIn WebアプリがLinkedInのパスワード漏洩をチェック

ニューヨークを拠点とするウェブ開発者とその同僚は、自分の LinkedIn パスワードハッシュがロシアのハッカーフォーラムで公開された 650 万件に含まれているかどうかを確認できるウェブベースのアプリケーションを開発した。

水曜日に明らかになったこのパスワード漏洩は、LinkedIn が保存している詳細な個人データと、ハッカーが幹部にスピアフィッシング攻撃を仕掛けたり、悪質なリンクを拡散したりする可能性があるため、重大な問題となっている。

LinkedIn は一部ユーザーにパスワードをリセットするよう指示していますが、自分のアカウントが侵害されたかどうかを確認する別の方法もあります。

LeakedInは、SHA-1アルゴリズムを用いて、個人の平文パスワードを対応する暗号表現に変換します。この変換はLinkedInによって保存されます。LeakedInの開発者の一人であるChris Shiflett氏は自身のブログで、「この変換はブラウザ内でJavaScriptを使用して行われ、パスワードは他の場所には送信されません」と述べています。

LeakedInは、そのハッシュが漏洩したパスワードのリストに含まれているかどうかを確認します。リスト内のハッシュのすべてがまだ元のパスワードに変換されているわけではありませんが、ハッカーが作業を進めている可能性は高いです。シフレット氏は、「私のパスワードは漏洩した650万件のパスワードの1つであるだけでなく、解読されたパスワードの中にも含まれていることがわかりました。私は被害者でした」と述べています。

パスワードハッシュは、強力なグラフィックプロセッサと、通常のPCで使用できる「John the Ripper」や「oclHashcat」などの無料のパスワードクラッキングツールを使用することで、プレーンテキストに変換できます。この処理にかかる時間は、パスワードの複雑さによって異なります。

これらのクラッキングアプリケーションは、過去のパスワード侵害から収集した単語リストを、いわゆる辞書攻撃に利用します。これは、既に計算されたハッシュと新しいリストのハッシュを照合する攻撃です。もう一つの手法は、ブルートフォース攻撃です。ブルートフォース攻撃では、プログラムは一致するハッシュを見つけるために、様々なパスワードの組み合わせを次々と試します。ブルートフォース攻撃は、大文字と記号が混在する長いパスワードの場合、より時間がかかります。

セキュリティコンサルティング会社Errata SecurityのCEO、ロバート・デイビッド・グラハム氏は、パスワードの各文字には、大文字、小文字、数字、記号を組み合わせた100通りの組み合わせがあると述べている。5文字のパスワードであれば100億通りの組み合わせがあり、最上位のRadeon HD 7970グラフィックプロセッサを使えば5秒で解読できる。

6文字のパスワードなら7秒強で解読できるが、7文字だと13時間かかるとグラハム氏は書いている。8文字だと57日、9文字だと15年かかる。

「言い換えれば、パスワードが7文字だった場合、ハッカーはすでに解読しているが、9文字の場合は総当たり攻撃で解読するのは非常に困難だ」とグラハム氏は書いている。

ダンプ内のハッシュの多くは、最初の5文字が5つのゼロになっています。グラハム氏は、「これは、ハッカーがこのようにゼロ化されたパスワードを既に解読していることを意味すると考える人もいる」と記しています。

LinkedInはハッシュに「ソルト」をかけていなかった。これは、ハッシュにランダムな文字を挿入することで、ブルートフォース攻撃を困難にするものだ。同社は現在、ハッシュにソルトをかけていると発表した。

セキュリティベンダーのSophosは、重複を除いた650万個のハッシュのうち、580万個が一意のハッシュであることが判明したと発表した。上級セキュリティアドバイザーのチェスター・ウィズニエフスキー氏によると、この580万個のうち、約350万個、つまり約60%が総当たり攻撃に成功したという。

ソフォスは、LinkedInで使用されているパスワードと、ネットワークドライブを介して拡散するConfickerワームが使用するパスワードを比較しました。Confickerが使用した単純なパスワードのうち、2つを除いて全てがLinkedInユーザーにも使用されていたとウィスニエフスキー氏は記しています。

LinkedInはサインインプロセスの一部としてユーザーのメールアドレスを使用していますが、ハッカーがそれらのアドレスも入手しているかどうかは不明です。ハッカーがそれらのアドレスを入手していれば、ユーザーのアカウントに直接アクセスできるため、今回の侵害はさらに深刻なものとなるでしょう。サンディエゴのセキュリティ企業ESETのセキュリティ研究者、キャメロン・キャンプ氏は、LinkedInはユーザーの信頼を回復するために、より多くの情報を公開する必要があると述べています。

「今後2、3日でLinkedInが何を言うかを見るのは非常に興味深いだろう」とキャンプ氏は語った。

ニュースのヒントやコメントは[email protected]までお送りください。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

iPhoneアプリが拒否された?そんな時のサイトがあります

iPhoneアプリが拒否された?そんな時のサイトがあります

マイクロソフト、Java攻撃の急増を警告

マイクロソフト、Java攻撃の急増を警告

Wapedia: モバイルウィキ

Wapedia: モバイルウィキ

You Might Also Enjoy

マイクロソフト、Java攻撃の急増を警告

マイクロソフト、Java攻撃の急増を警告

HP Dragonfly Proレビュー:Appleは気をつけた方がいい

HP Dragonfly Proレビュー:Appleは気をつけた方がいい

Ryzen Threadripperに2つの追加チップが搭載されている理由

Ryzen Threadripperに2つの追加チップが搭載されている理由

Popular Articles

このクレイジーなRTX 4070ゲーミングノートPCは今なら超安い:850ドル
Firefox 版 LastPass の最新バージョンを使用していることを確認する方法
マイクロソフト、Java攻撃の急増を警告
ライバル各社、アップルの新型iPhone発表前に新製品発表を急ぐ
Google、ブレッチリー・パークの修復に85万ドルを寄付

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research