Ubuntu Linuxディストリビューションの開発元であるCanonicalは先日、Ubuntuヘルプフォーラムが週末にセキュリティ侵害を受けたと発表しました。攻撃者はサイトから推定182万件のユーザー名、メールアドレス、パスワードを収集しました。Canonicalは、ハッカーがどのようにしてシステムに侵入したかは不明であり、予防措置としてUbuntuforums.orgのフォーラムをオフラインにしていると発表しました。
Canonicalは、Ubuntuフォーラムのアカウントを持つユーザーに対し、メールでハッキングに関する警告を発しています。また、他のオンラインサービスで同じパスワードとユーザー名/メールアドレスを使用している場合は、他のサイト、特にメールのセキュリティ認証情報を変更するようユーザーに勧告しています。
Ubuntu One などの Ubuntu.com サービスは、Ubuntu フォーラムと同じログイン アカウントを共有していないため、ハッキングの影響を受けないと考えられています。
悪意のあるペンギン
Ubuntuフォーラムのファンが、土曜日にサイトが改ざんされたと報告し始めた。サイトに侵入したハッカー、あるいはハッカー集団は、AK-47を持ったペンギン(Linuxのマスコットはペンギン)の画像を投稿した。
画像の下のメッセージは、ハッカーたちがセキュリティの脆弱なサイトを危険にさらすことに何よりも関心を持っていることを示唆していた。Ubuntuのフォーラムサイトには、「『[albani4 c3bir 4rmyにハッキングされた]』なんていう類のことは言っていません。はっきり言って、あなたは失敗しただけです。それだけです」と書かれていた。
ハッカーがユーザー名とパスワードのデータベースをオンラインで公開する計画があるかどうかは不明です。しかし、これらのアカウント認証情報がインターネット上のあまり評判の良くない場所で流通し始める可能性は確かにあります。
Canonicalによると、フォーラムユーザーのパスワードはプレーンテキストではなく、ハッシュ化されソルト化されていたとのことです。ハッシュとは、数学的アルゴリズムを用いてプレーンテキストのパスワードを一連の数字と文字に変換するものです。特定のハッシュは、同じ入力(この場合はパスワード)に対して毎回同じ文字と数字の文字列を生成します。ハッシュのセキュリティを高めるため、「ソルト化」と呼ばれる処理によってハッシュはさらに難読化されます。ソルト化とは、ハッシュにランダムなビットを挿入することで、元のパスワードの推測を困難にする処理です。
Canonicalは本稿執筆時点でコメント要請に回答していないため、同社がどのハッシュアルゴリズムを使用していたかは不明です。しかし、Ars Technicaのレポートによると、Canonicalはmd5ハッシュを使用していたとのことです。MD5は、ダウンロードした実行ファイルが改ざんまたは破損していないことを確認するためのセキュリティチェックとして、ソフトウェア企業でよく使用される一般的なハッシュアルゴリズムです。しかし、md5はパスワードのハッシュ化には安全な選択肢とは考えられていません。
ハッチを閉める
パスワード漏洩の報告は、常に自身のオンラインセキュリティ対策を見直す良い機会です。オンラインでアクセスするすべてのサイトで、必ず異なるパスワードを使用するようにしてください。独自のパスワード生成のヒントについては、PCWorldの「強力なパスワードの使い方を学ぶ」または「パスワード:間違った使い方をしている? 破られないパスワードを作る方法」をご覧ください。
LastPassやPassword Safeなどのパスワードマネージャーを使って、様々なオンラインサイトのパスワードをすべて保存しましょう。これらのプログラムは、新しいパスワードを作成したり、ログインフォームに自動入力したりすることもできます。
最後に、Battle.net、Dropbox、Evernote、Facebook、Gmail、Twitter、Outlook.comなど、このセキュリティ対策をサポートするサービスで2段階認証を有効にしてください。2段階認証では、通常スマートフォンアプリや小型キーフォブで生成される、2つ目の短い一時パスワードを入力する必要があります。
2 要素認証を提供する多くのサービスでは、信頼できる PC を設定できるため、新しい PC やブラウザーで資格情報を 1 回入力するだけで済みます。
CanonicalはUbuntuフォーラムの復旧時期についてまだ発表していません。その間、サポートが必要なUbuntuユーザーは、Stack ExchangeのAsk UbuntuやUbuntu Discourseなどのサイトをチェックしてみてください。
