2012年6月6日午後2時15分(太平洋標準時)更新
LinkedInは水曜日、大規模なセキュリティ侵害で漏洩したパスワードの少なくとも一部がLinkedInアカウントに該当することを確認した。
LinkedInのディレクター、ビセンテ・シルベイラ氏は、水曜日の午後、同社のブログでハッキング事件を認め、LinkedInがこの事態に対処するために講じている措置の概要を説明しました。彼は、パスワードが侵害されたユーザーは、LinkedInアカウントのパスワードが無効になっていることに気付くだろうと書いています。
シルベイラ氏は、侵害を受けたアカウントの所有者には、LinkedInからパスワードのリセット方法を説明したメールが届くと付け加えた。その後、LinkedInカスタマーサポートから、より詳細な状況説明が記載された2通目のメールが届く。
シルベイラ氏はまた、LinkedIn は会員のセキュリティを非常に重視しているとして、被害を受けた人々に謝罪した。
ビジネスに特化したソーシャルネットワークは、3月31日時点で世界中に1億6100万人のユーザーを抱えている。
背景
LinkedInのセキュリティ専門家は、ビジネス向けソーシャルネットワークLinkedInのパスワードデータベースに大規模な侵害が発生したと疑っています。最近、ロシアを拠点とするオンラインフォーラムに、650万件のハッシュ化されたパスワードを含むファイルが公開されました。これまでに20万件以上のパスワードが解読されたと報告されています。
セキュリティ研究者によると、このファイルにはSHA-1アルゴリズムでハッシュ化されたパスワードのみが含まれており、ユーザー名やその他のデータは含まれていないとのことです。しかし、今回の侵害は非常に深刻であるため、セキュリティ専門家はLinkedInのパスワードを直ちに変更するよう勧告しています。
現時点では、このファイルがどのようにして公開フォーラムに掲載されたのか、またパスワードの出所がどのサイトなのかは不明です。しかし、これは確かにLinkedInへの侵入であることを示す兆候がいくつかありました。ノルウェーを拠点とするセキュリティアドバイザーのPer Thorsheim氏はPCWorldに対し、フォーラムに公開されたクラックされたパスワードの多くに「LinkedIn」という共通の単語が含まれていると語りました。
Facebook、Twitter、その他の一般的なオンラインネットワークといった用語はほとんど存在しません。Thorsheim氏は、漏洩したパスワードファイルを最初に発見したセキュリティ研究者の一人です。
ソーシャイム氏によると、人々が様々なウェブサイトのパスワードを作成する際によく使う方法の一つは、パスフレーズにサイト名を追加することだという。そのため、世界最大のソーシャルネットワークであるFacebookでは「1234Facebook」、LinkedInでは「1234LinkedIn」といったパスワードを使う人もいるかもしれない。「LinkedIn」という単語がこれほど多く使われていることから、これらのパスワードは実際にはLinkedInのパスワードである可能性が高いとソーシャイム氏は指摘する。
ソーシャイム氏はまた、自分とセキュリティコミュニティ内で信頼する少なくとも12人の情報源が、ファイル内で自身のLinkedInパスワードのハッシュを発見したと述べた。
Thorsheim氏の話を聞いて、漏洩したパスワードファイルのコピーを使って、自分のLinkedInパスワードのハッシュをSHA-1ハッシュジェネレータに通したところ、ハッシュ値も見つかりました。しかし、PCWorldの他の2人のライターのLinkedInパスワードに対しても同じ操作を行っても、結果は得られませんでした。
ハッシュとは何ですか?
SHA-1ハッシュは、パスワードを一意の数字と文字の組み合わせに変換するアルゴリズムです。例えば、パスワードが「LinkedIn1234」の場合、SHA-1の16進数出力は常に「abf26a4849e5d97882fcdce5757ae6028281192a」となるはずです。しかし、これは問題です。パスワードがSHA-1でハッシュ化されていると分かっている場合、人々がよく使う比較的基本的なパスワードでさえも簡単に解読されてしまうからです。
多くの場合、ハッシュにはソルトと呼ばれるランダムビットが追加され、出力の推測が困難になります。しかし、今回漏洩したパスワードでは、そうではないようです。
セキュリティ研究者を悩ませているのは、パスワードデータベースに完全に重複のないパスワードが含まれていることです。パスワードファイルを漏洩した人物が、オンライン上に公開されていないパスワードを他に保有しているかどうかは不明です。例えば、このファイルは、より難解なパスワードの一部をハッキングするためのクラウドソーシングを目的とした試みである可能性があります。また、攻撃者とされる人物が、これらのパスワードを実際のユーザーに結び付けるユーザー名やその他のデータを保持しているかどうかも不明です。
この問題について、LinkedIn の Silveira 氏は次のように書いています。「パスワードを更新した影響を受けたメンバーと、パスワードが侵害されていないメンバーは、現在のパスワード データベースのハッシュ化とソルト化を含む、最近導入した強化されたセキュリティの恩恵を受けていることは注目に値します。」
しかし、ソルトなしハッシュが650万件も流出した以上、パスワードの長さや推測の難しさは関係ないとソーシャイム氏は指摘する。パスワードが流出した人は誰でも危険にさらされている。LinkedInのパスワードは、こちらのリンクにアクセスし、プロフィール写真のすぐ下にある「パスワード」の横にある「変更」リンクをクリックすることで変更できる。
LinkedInとセキュリティにとって、今週は厳しい週となりました。The Next Webは先日、LinkedInのAndroidおよびiOSモバイルアプリのオプトインカレンダー機能が、ユーザーデータをプレーンテキストでLinkedInサーバーに送信していると報じました。これに対し、LinkedInはすべてのデータを暗号化された接続経由でサーバーに送信しており、ユーザーデータは一切保存しないと回答しました。
LinkedInはPCWorldのコメント要請にまだ応じていない。
最新の技術ニュースと分析については、TwitterとGoogle+でIan Paul ( @ianpaul ) 、TwitterでToday @PCWorld をフォローしてください。
