米Adobe社は、10月以降、自社のカスタマーデータベースに不正アクセスがあり、顧客のクレジットカード情報を含むアカウント情報が大量に流出したと発表しています。
同社の公式発表によると、流出したのは290万件であり、該当する顧客(日本人も含む)には電子メールで案内しているとのことです。しかし、実際には最大で1億5千万人分のアカウントが流出しているという情報があり、それらしい生ファイルがネット上に流出しているそうです。
●取り急ぎ、気をつけていただきたいことは下記の5つです。
(1) Adobe社にメールアドレスとパスワードを登録したことがある人は、自分のその情報が流出している可能性が高いと思ってください。
(2) Adobe社からのメールが来ていないか、チェックしてみてください。メールが届いている場合は、指示にしたがってパスワード変更などを行ってください。
(3) Adobe社にクレジットカード情報を登録した人は、不正利用がないかどうか継続的にチェックしてください。
(4) Adobe社に登録したのと同じパスワードを、他のサービスにも使いまわしていると思われる人は、早急にその他のサービスのパスワードを変更してください。
(5) あとは自分に被害がないことを祈ってください。
●流出した1億5千万件のアカウント情報を解析した結果が公開されています
やはり「123456」「password」「qwerty」など、よくあるパスワードに設定している人がたくさん見つかったとのことです。今回の調査ではトップ100まで解析されているので、さらに詳しく見ることができます。
それによると、「asdfgh」とか「qwertyuiop」「1q2w3e4r」「753951」といったものも多数発見されています。少し実際に入力してみるとわかると思いますが、これらはキーボード配列を活用して編み出されたものです。
このような結果を見てみると、キーボード配列から文字列を編み出すという手法は、みんながやっているために容易に類推できますので、パスワードに使用するべきではないことが分かります。このようなパスワードを使用している人は、すぐに異なったパスワードに変更することをオススメします。
●1億5千万件の情報を使用したパスワードリスト攻撃が始まっているようです
同じパスワードを複数のサイトで使いまわしている場合、一つのサイトからパスワードが流出したら他のサイトでも使われてしまう。この当然の原理を応用したのが「パスワードリスト攻撃」ですが、今回は1億5千万件も流出してしまいましたので、これを使えばかなりいろいろなことができそうですよね。
既に今回の情報を使用したパスワードリスト攻撃が著名なサービスには行われているようで、Facebookでは、今回流出したパスワードを自社サービスでも使いまわしている利用者のアカウントを一時停止してパスワード変更をさせるようにしたそうです。
とにかく、上記(4)の「Adobe社に登録したのと同じパスワードを、他のサービスにも使いまわしていると思われる人は、早急にその他のサービスのパスワードを変更してください」を実施していただきたいと思います。
Adobe社からのアナウンス
http://helpx.adobe.com/jp/x-productkb/policy-pricing/customer-alert.html
アカウント情報の解析結果
http://stricture-group.com/files/adobe-top100.txt
Facebookのアカウント停止に関する記事
http://www.sophos.com/ja-jp/press-office/press-releases/2013/11/ns-facebook-locks-accounts-using-same-passwordsemails-on-adobe.aspx
(私のコメント)
Facebookが先回りしてアカウント停止したというニュースに関しては、さすがFacebookだなと思いました。全てのサービスでこういうことができれば、パスワードリスト攻撃に対する一定の対策になると思いますが、それも難しいことかなと思いました。