今週は海外のオンラインサービスで大規模インシデントが立て続けに発生しました。一斉に起こり過ぎて情報を追い切れていないのですが、把握できている範囲でまとめてみます。
概要
今週水曜日(6/6)頃から複数のオンラインサービスで立て続けに情報漏えいのインシデントが発生しました。インターネット上に漏えいした情報はパスワード関連の情報とされています。漏えいしたオンラインサービスは次の3つです。またこれらサービスはいずれも日本向け(ローカライズされたものとして)に提供されています。
時期が重なってはいますが、一連の漏えい事案の関連性については不明です。
漏えいしたデータ
今回漏えいしたとされるデータはパスワードをハッシュ化した文字列であり、パスワードそのものではありません。しかし、漏えいしたパスワードハッシュはいずれもソルトが付与されたものではなく、レインボーテーブルを用いた解読が可能であったため、漏えいしたパスワードハッシュから元のパスワードの文字列が解読されてしまう結果となりました。さらに、LinkedIn、eHermonyの漏えいデータファイルはオンラインストレージ等で公開されており、現在も有志によってその解読データの解析作業が進められているようです。*1
(6.7 10:20追記・修正)また、漏えいしたと言われているデータはあくまでもフォーラムや関連したやり取りの中で発言された内容から発表されているものであり、ただそれだけではログインに使用することの出来ないパスワードハッシュのみを窃取する意味もありません。窃取した人間がこれ以上の情報(パスワードハッシュに紐づくメールアドレス、ユーザーIDなど)を持っていることは十分に考えられます。また、ログインにはパスワードの他、メールアドレスやユーザーIDが必要となりますが、これらは公知の情報にもなりえる情報でもあり、窃取した人間以外による不正な試行も考えられるため、過去サービスを利用したことがある方はパスワードを変更されることを推奨します。
各サービスの概要とインシデントについては次の通りです。
eHarmony | Last.fm | ||
本社 | 米国サンタモニカ | 米国サンタモニカ | 米国サンフランシスコ |
サービス内容 | ビジネスユースSNS | 出会い系SNS | インターネットラジオSNS |
サービス開始時期 | 2003年5月5日 | 2000年8年22日 | 2002年 |
会員数 | 約1億6千万人 | 約3300万人*2 | 約3000万人*3 |
ログインに必要な情報 | メールアドレス パスワード |
メールアドレス パスワード |
ユーザーID パスワード |
漏えいデータ*4 | パスワードハッシュのみ | パスワードハッシュのみ | パスワードハッシュのみ |
漏えい件数 | 約650万件(0.2%) | 約150万件(4.5%) | 約1730万件(57.7%) |
解読済み件数 | 30万件(4.6%)*5 | 不明 | 約1630万件(94.2%)*6 |
ハッシュアルゴリズム | SHA1 | SHA1 | MD5 |
漏えいデータの状態 | オンライン上で公開 | オンライン上で公開 | 非公開(詳細不明) |
LinkedInやLast.fmのパスワードハッシュに対する解読者による報告を見ると、パスワードにはそのサービスの名称(例えばlinkedin、lastfm)が含まれているケースが目立つようです。ちなみにTwitterではパスワードポリシーとしてサービス名「Twitter」の利用は禁止されています。Last.fmでは1万件近くがこのサービス名を用いていたものといった解読結果も出ています。
漏えい原因
どのサービスも具体的な流出原因は調査中であるとしています。例えば、LinkedInでは『これらのパスワードにメールアドレスは付随しておらず、これを原因とするアカウントへの不正アクセスも報告されておりません。』といった公式発表を行っています。恐らく漏えい原因自体についてはある程度判明しているものと考えられます。(6.7 10:20訂正)これはフォーラムに投稿されたデータにメールアドレスが付随していなかったことを指していると思われ、どのような経緯で漏れたのかについてはまだ調査中と考えられます。
インシデントレスポンスの比較
さて今回のインシデントは同時期に比較的規模の大きいオンラインサービスで同様のインシデントが発生するという珍しい状況が起こりました。そこで各サービスにおけるインシデントレスポンスの内容を比較をしてみます。
eHarmony | Last.fm | ||
報道日 | 2012/06/06 | 2012/06/07 | 2012/06/07*7 |
公式発表 | 有り 2012/06/06 Updating Your Password on LinkedIn and Other Account Security Best Practices An Update on LinkedIn Member Passwords Compromised 2012/06/07 Taking Steps To Protect Our Members |
有り 2012/06/06 Update on Compromised Passwords 2012/06/07 Updates On Ongoing Efforts To Protect Our Members |
有り 2012/06/08 An update on Last.fm Password Security |
サービスの停止 | 無し | 無し | 無し |
ユーザーへの通知手段 | Blog |
Blog |
Blog |
パスワードリセット(変更) | 漏えいしたユーザーに対してのみ実施 その他ユーザーに対しても変更を推奨 |
漏えいしたユーザーに対してのみ実施 ユーザーに対してはメールを送付 |
無し(変更は推奨) ただし、変更を促す情報が表示される。 |
法執行機関等への届け出 | FBIへ連絡 | 法執行当局へ届け出 | 無し |
日本向け情報の提供 | 有り Blog,Twitter |
無し*8 | 有り プレスリリース |
ユーザーへの推奨対応 | ・数ヶ月おきのパスワードの変更 ・パスワード使いまわしの警告 ・文字数字記号を含むパスワードの生成 ・スパムメール等への注意 |
・英大小文字数字記号を含むパスワードの生成 ・パスワード使いまわしの警告 ・数ヶ月ごとのパスワードの変更 ・本事案に便乗したフィッシングメールへの注意 |
・パスワード使いまわしの警告 ・参考としてGoogleの推奨パスワードの提示 |
どのサービスも情報漏えいのインシデントが起きたことを認めていながらも、サービスを停止せずに運用を続けたという共通事項が特徴として挙げられます。日本国内では2010年にPSNの大規模な情報漏えいが発生し、その際は安全が確認される状態となるまでのおよそ半月程度*9サービスを停止しました。また、LinkedInでは海外では大きな扱いを受けているにもかかわらず、日本法人の動きが遅い*10といった事象がみられました。
ちなみにLinkedInやeHarmonyはパスワードの数ヶ月おきの変更を促しています。数ヶ月とは一体いつ変更すればよいのでしょうか?(まさかこの手の漏えいが数ヶ月おきに起こるのでしょうか?:))
また、既にLinkedInでは観測されているようです*11が、どのサービスでも規模が大きいだけに便乗したスパム、フィッシング等が出回る可能性が高いです。公式でも述べられているようにパスワード変更先へ促すようなリンク等の記述は通知メール自体には記述されていないそうです。通知メールを受け取られた方は十分ご注意ください。ちなみにLinkedInでは、自分のパスワードが漏えいしたかどうかをチェックするサイトもありますが、パスワードをそのサイトへ送信しているということを認識された上で試してください。
この方面でのまとめや見解等を述べられているところ
更新履歴
- 漏えいデータに関する補足と漏えい原因部分のLinkedInのメールアドレスに関する部分を修正。(更新前の魚拓)
*1:LinkedIn vs. password cracking
*2:2010年時点 Dating Site Marks 10 Years With Ad Campaign
*3:2009年時点 Last.fm Radio Announcement
*4:あくまでも公開等された情報という意味において。パスワードハッシュのみを窃取する意味もないため、自身で解読できなかったためにハッシュのみを漏えいさせたと推測される。
*5:あくまでもフォーラム上でのやり取りの件数。一部では00000がつけられたハッシュは既に解読済みであるとの推測もある。これを含めた場合既に60%程度が解読されていることとなる。
*6:http://twitter.com/CrackMeIfYouCan/status/210776061410148354
*7:報道よりも先行してLast.fmからアドバイザリが出された。
*8:現時点で米国サイトにリダイレクトされる模様
*9:日本等アジアでの全てのサービス再開には2か月半程度を要している。