Tumblrと(懐かしの)MySpaceから大量のログイン情報が流出

2016年6月6日

MyspaceやTumblrを使ったことのある方は、ちょっと困ったことになるかもしれません。この2つのSNSから膨大な数のログインデータが盗まれ、それなりの価格で出回っていることがわかったからです。

shutterstock_289190837_OK

Tumblrによると、同サービスから流出した約6,500万件分のアカウントデータは数年前のものでした(リンク先はいずれも英語記事)。「MySpaceってまだあったの?」などと悠長なことを言っている場合ではありません。MySpaceから盗まれたパスワードは数億件にのぼり、盗難としては史上最大規模です。この膨大な情報の提示価格は2,800ドルとされ(英語記事)、かつて一世を風靡したサイトが最近はあまり話題に上らなかったことを思い出しました。

どんなデータ流出も大問題

SNSからデータが流出しても、金融機関から流出した場合ほど大騒ぎにはなりませんが、本当はもっと慌てるべきでしょう。そもそも、情報の入手には多少なりとも努力がいるわけで、データに何の価値もなければ誰も手を出そうとしないはずです。

MySpaceにクレジットカード情報を登録していなかったとしても、たとえばアカウント情報を手にした犯罪者は、悪用できそうな情報へアクセスできるようになるかもしれません。それこそ、ソーシャルエンジニアリングに利用できる個人情報から、利益に直結するアカウントへのログイン情報に至るまで。多くのユーザーが同じパスワードを使い回す傾向にあることを考えれば、十分にあり得る話です。

Kaspersky Labのグローバル調査分析チーム(GReAT)メンバーであるブライアン・バーソロミュー(Brian Bartholomew)は次のように述べています。「今回の流出事件が、やがては他の問題へと波及するリスクは十分にあります。犯罪者はこれらの認証情報を利用して、銀行口座からメールアカウント、さらには他のオンラインシステムまで、あらゆるものにアクセスする可能性があります。この情報が今後どう使われるのか、その可能性は計り知れません」

Tumblrの場合、ソルトを使ってユーザーログインデータを暗号化しているため容易には破れないとしているのに対し、MySpaceのデータはSHA1アルゴリズム(英語記事)でハッシュ化しただけでした。

アカウントを守るための3箇条

ログインIDとパスワードを管理するために、お勧めの対策があります:

  • 強固なパスワードを作成する。さらに、アカウントごとに違うパスワードを使います。覚えやすくて入力も簡単なパスワードをあちこちで使い回したい気持ちはわかります。しかし、裏を返せば、1箇所からデータが流出すればすべてのアカウントへの不正アクセスにつながり、その後始末に頭を抱えることになりかねません。
  • パスワード管理ツールを活用する。「qwerty1」「123456」「password」といった、ありがちな(しかも弱い)パスワードを使い回す誘惑を和らげることができます。

  • アカウントで2段階認証がサポートされている場合は、必ず有効にする。2段階認証は、ハッキングを100%阻止できるわけではありませんが、アカウントの保護に効果的な方法の1つです。少し手間をかけるのと、盗まれた個人情報の後始末に追われるのと、どちらが得かは少し考えれば明らかです。2段階認証では、正しいログイン認証情報を入力すると、通常はSMSで携帯電話にコードが送信されます。基本的には、入力したユーザーがログイン情報の持ち主本人であることを確認するものです。

さあ、さっそくパスワードの見直しにとりかかりましょう。