人気のソースコードリポジトリサービス GitHub は最近、ブルートフォースパスワード推測攻撃を受け、一部のアカウントが侵害された。
「アカウントが侵害されたユーザーには、対処方法をお知らせするメールを送信しました」と、GitHubのセキュリティエンジニアであるショーン・ダベンポート氏はブログ投稿で述べています。「パスワードはリセットされ、個人アクセストークン、OAuth認証、SSHキーはすべて失効しました。」
ユーザーには、自分のアカウントのセキュリティ履歴ページでリポジトリへの最近の変更や失敗したログイン試行を確認し、2要素認証を有効にするようアドバイスされました。
ダベンポート氏によると、GitHubはbcrypt関数を用いてパスワードを安全に保管し、パスワード推測攻撃をブロックするためにログイン試行に厳しいレート制限を設けている。しかし、今回のインシデントでは、約4万件の固有のインターネットプロトコルアドレスが「脆弱なパスワードや複数のサイトで使用されているパスワードをゆっくりと総当たり攻撃するために使用された」という。
これは、攻撃者が他のウェブサイトから漏洩したユーザー名とパスワードのリストを取得し、ボットネットを使用して GitHub で試した可能性があることを示唆しています。
Adobeで最近発生したデータ侵害により、1億5000万人分のログイン認証情報が含まれたファイルがインターネット上に漏洩しました。ファイル内のパスワードは暗号化されていましたが、研究者らによると、Adobeが使用していた暗号化方式により、攻撃者は多くのパスワードを推測することが可能でした。
パスワードがリセットされたGitHubアカウントの正確な数は明らかにされておらず、GitHubは説明を求める問い合わせにすぐには応答しなかった。
「万全を期すため、強力なパスワードを使用していたとしても、一部のユーザーアカウントがリセットされた可能性があります」とダベンポート氏は述べた。「これらのアカウントのアクティビティから、今回のインシデントに関与したIPアドレスからのログインが確認されました。」
GitHubは追加のレート制限措置を実装する予定であり、ユーザーが「一般的に使用される弱いパスワード」でログインすることを今後は許可しないとダベンポート氏は述べた。
これは、最近の事件によって直接影響を受けたユーザーに加えて、弱いパスワードを使用していたユーザーもパスワードの変更を余儀なくされる可能性があることを示唆しています。
GitHubのサインアップページには、パスワードは7文字以上で、小文字と数字をそれぞれ1文字以上含める必要があると記載されています。この条件を満たす「q1w2e3r4」「password1」「iloveyou2」といった弱いパスワードを試そうとすると、「これらのパスワードはハッカーによく推測される」というメッセージが表示されます。
ただし、password2、1l0v3y0u、p4ssw0rd など技術的に弱い他のパスワードも受け入れられるため、ブラックリストはそれほど広範囲ではないようです。
