またシリア電子軍(SEA)による攻撃です。今回の標的は、Forbesの読者と寄稿者100万人以上のアカウント情報でした。影響を受けたユーザーは合計で1,071,963人。SEAはForbesのデータベースに侵入し、保存されていたメールアドレスとそれに対応するパスワードを盗み、その情報がオンライン上のサイバー犯罪者の間で共有されました。Forbesの3つの記事が改ざんされ、同社のブログもダウンしました。しかし、SEAはこれほど巨大なインフラストラクチャをどうやって襲撃することができたのでしょうか?
Forbesはユーザーの情報をPHP Portable形式で保存していたとみられています。これはつまり、すべてのパスワードと、攻撃を遅らせるために使用するランダムなソルトに、MD5アルゴリズムが実行されていたということです。このアルゴリズムは一般的な暗号ハッシュ関数で、データの正当性を検証する目的で広く利用されています。ForbesはハッシュとパスワードにMD5を8,192回繰り返して実行し、その結果をデータベースに保存していました。
そしてSEAが侵入してこの保存された情報にアクセスし、悪質な「推測ゲーム」を行ったことがわかっています。SEAは、「ABCD」などのよく使われるランダムなパスワードとユーザーのソルトの組み合わせを試して、ハッシュを生成し、Forbesのデータベースで照合しました。それが一致すると、パスワードが暴かれました。
パスワードには一方向の暗号化が施されていましたが、Forbesは読者にログイン情報を変更するよう注意を呼びかけ、以下のように述べています。
Forbes.comに登録したすべての方のメールアドレスが流出しました。Forbesを装ったメールにご注意ください。流出したメールアドレスのリストがフィッシング攻撃に利用される恐れがあります。当社は警察に通報しました。今回の事件を非常に重く受け止めており、コミュニティのメンバーの皆様にこの情報漏えいについてお詫び申し上げます。
ここで大きな問題となるのは、多くの人が同じユーザー名とパスワードを複数のアカウントで使い回す傾向があるということです。つまり、Forbesに登録している人で、自分の情報が公開されてしまい、同じユーザー名とパスワードの組み合わせを他のアカウントでも使用している人は、複数のプラットフォームにわたってさまざまなアカウントを攻撃される恐れがあります。
だからこそ、自分のログイン情報をこのように取り扱うことについては、どんなに注意を呼びかけても十分ではありません。1つのアカウントが攻撃を受けると、他のアカウントも脅威にさらされます。サイバー犯罪者はそのことを熟知しているのです。パスワードの使い回しは避け、利用するサービスごとに異なるパスワードを設定することを強くお勧めします。