Tumblrでのセキュリティ侵害

2013年7月31日

人気マイクロブログWebサイトTumblrは先日、iOSアプリのセキュリティに欠陥があったことを発表しました。同社はiPhoneアプリとiPadアプリのすべてのユーザーに対し、パスワードを変更してソフトウェア更新を実行するよう依頼して、次のように述べました。

tumblr_title_jp

「TumblrのiPhoneアプリとiPadアプリ向けに非常に重要なセキュリティ更新をリリースしました。特定の状況においてパスワードの漏えいの恐れがある問題に対処するものです。今すぐ更新をダウンロードするようお願いいたします。

これらのアプリを使用している場合は、Tumblrのパスワードと、同じパスワードを使っているすべてのサービスのパスワードも更新する必要があります。また、1PasswordLastPassなどのアプリを使用して、サービスごとに異なるパスワードを設定することも有効です。

当社はお客様のセキュリティを極めて真剣に考えています。今回の不手際でご迷惑をおかけしたことを深くお詫び申し上げます。」

Tumblrは詳しく説明していませんが、今回のセキュリティ侵害は、同社がSSLサーバーを使用せずにユーザーをアプリにログインさせていたことが原因のようです。これはつまり、iPhoneやiPadで公共のWi-FiからTumblrにアクセスする全ユーザーが、ログイン中にパスワードスニフィングに遭った可能性があるということです。

これはつまり、iPhoneやiPadで公共のWi-FiからTumblrにアクセスする全ユーザーが、ログイン中にパスワードスニフィングに遭った可能性があるということです。

iOSデバイスでTumblrを利用していて、まだアプリとパスワードを更新していない人は、すぐに更新しましょう。セキュリティ侵害は往々にして起きるもの。そのため、今後デジタルデバイスからアプリにアクセスするときは、以下のヒントを覚えておいてほしいと思います。

強力なパスワードを使用Webサイトやアプリへのログインに長くて複雑なパスワードを使用することの重要性は、いくら強調しても強調しすぎることはありません。パスワードが難解であればあるほど、アカウントへの攻撃が難しくなり、情報が漏えいするリスクも小さくなります。

多様性が重要:パスワードについては、自分が管理するすべてのアカウントで同じものを使い回すことはやめましょう。今回のTumblrのセキュリティ侵害における重要な懸念は、一部のユーザーがTumblrのパスワードを他のソーシャルアカウントでも使っているという可能性です。そうしたユーザーの情報が実際に漏えいしていたとしたら、彼らの他のアカウントも攻撃を受ける恐れがあります。

安全な接続:公共のネットワークに接続するときは、バーチャルプライベートネットワーク(VPN)の使用を検討するといいでしょう。公衆Wi-FiからTumblrアカウントにサインインしていたユーザーは、このケースにおいて攻撃を受けるリスクが最も大きいユーザーでした。VPNを使用することで、データが暗号化されて安全性が高まり、不正アクセスから遠ざけることができます。

セキュリティ機能を活用:Appleユーザーなら、同社製品向けのセキュリティ機能を利用しているはずです。間もなく登場予定のパスワード保管システムiCloudキーチェーンなど、ユーザーを守るさまざまな機能が提供されています。

常に最新の状態にアプリは常に更新されており、バグフィックスやユーザーの問題への対処が行われています。更新があることに気づいたら必ずアプリを更新して、提供されている最新のバージョンを使うようにしましょう。

すべての資産を保護: もちろんTumblrはiPhoneやiPadのユーザーだけが利用できるものではありません。インターネットに接続できるすべてのデバイスからアクセスできます。ブログを書くのにスマートフォンを使っているかPCを使っているかにかかわらず、すべてのデバイスで信頼できるアンチウイルスソフトウェアを使用しましょう。