eBayのデータベースに不正侵入、該当ユーザーはパスワード変更を

2014年5月22日

インターネットオークション大手のeBayは、暗号化された状態のユーザーパスワードをはじめとする重要情報を含む自社データベースに侵入があったことを発表しました。同社は、影響を受けるユーザーへの連絡を開始し、同社Webサイトに通知を掲載しました。該当のユーザーは、パスワード変更が必要です。

ebay

同社は、今回の侵入による顧客アカウントの不正利用はないとしています。また、金融関連のデータやPayPal関連情報は、本件の影響を受けない別のデータベースに暗号化されて保管されていると述べています。

eBayは声明の中で「サイバー攻撃者は、一部社員のログイン情報を手に入れ、eBayの企業ネットワークにアクセス可能となった」と述べ、「法執行機関および第一線のセキュリティエキスパートと共に調査を進め、お客様を守るために最善を尽くす」としています。

侵入されたデータベースには、顧客の名前、暗号化されたパスワード、メールアドレス、住所電話番号、生年月日が含まれていました。

eBayによると、社員のログイン情報流出に気づいたのは2週間前のこと。それから現在にいたるまでの間、同社ではどのデータベースが影響を受けたのかを特定し、現在では該当の顧客への連絡を開始しています。

eBayにアカウントを持っている人は、パスワードの変更を求めるメールを同社から受け取ることになるでしょう。また、同じパスワードを別のところで使っている場合は、そちらも変更することをお勧めします。セキュリティ企業Rapid7のグローバルセキュリティストラテジスト、トレイ・フォード(Trey Ford)氏は、パスワードが暗号化されているといっても解読されるのは時間の問題なのでパスワードの変更はとても重要である、と注意を促しています。

同じパスワードをさまざまなところで使う危険はここにあります。今回のようなデータ流出が起こった場合、攻撃者は、手に入れたパスワードとユーザー名を大手オンラインサービスで自動的に試すツールを作成し、別のオンラインサービスのアカウント情報も手に入れようとするのです。

フォード氏はさらに「今回の件に関してeBayその他の企業を名乗って連絡してくる人物には注意しなければならない。フィッシングメールが増えることを見越し、メール内のリンクはクリックしないように。また、やりとりは電話で」と呼びかけています。

特に重要なのは、パスワードを変更するとき、eBayのWebサイトへ直接行って、パスワード変更画面にアクセスすることです。メール内のリンクをクリックするのは、絶対に避けましょう。

このニュースが広まるにつれ、eBay(おそらくPayPalも)を名乗るフィッシングメールが現れ始めるでしょう。こういったフィッシングメールには、悪意あるWebサイトへのリンクが、いかにも送信元のWebサイトであるかのように貼り付けてあるものです。おそらく、「パスワードをリセットするためのページ」へのリンクに見せかけてくるでしょうが、決してクリックしないでください。こうしたリンクの先にあるのは、自発的にパスワードを入力させて盗み取ってやろうと待ち構えているWebサイトなのです。