今週水曜(米国時間)に、eコマース大手のeBayが、同社のネットワークがサイバーアタックを受けて大量の個人情報と暗号化されたパスワードに不正アクセスがあったと発表した。それから24時間も経たないうちに、コード投稿サービスの「Pastebin」に、違法に取得した個人情報を売りに出すという複数の投稿がなされた。
そのうちの一つは、データを1.453BTC(ビットコイン)あるいは753ドルで販売するという匿名の投稿だ。その投稿主は、アジア太平洋地域の12663ユーザーの個人情報を含むサンプル情報へのリンクを提供している。試しにそのサンプルをダウンロードしてみたが、そこには名前、暗号化されたパスワードと思われるもの、メールアドレス、住所、電話番号、誕生日が記載されていた。とはいえ、これらのデータが本物であるという証拠はどこにもないし、eBayのサイバーアタックによる被害者のものであるかどうかも分からない。
Pastebinには、eBayユーザーの個人情報を所有していると主張する別の投稿もあったが、こちらはあまりちゃんとした内容ではなく、本物かどうかはかなり疑わしい。私は、今回投稿された一連の匿名による投稿は偽物である可能性が高いと思っているが、一つだけ確かなことがある。サイバーアタックが発生したのは本当であり、eBayユーザーは早急にパスワードを変更する必要があるということだ。
eBayが水曜日に行った発表では、不正アクセスが行われたのは名前、暗号化されたパスワード、メールアドレス、住所、電話番号、誕生日といった個人情報のみであり、ファイナンシャル・データは危険にさらされてないという。だが、もしハッカーが暗号化されたパスワードの解析に成功すれば、彼らはそのパスワードと名前、メールアドレスをどこか他の場所、例えばPayPalのアカウントで試してみるかもしれないのだ。
今回のサイバーアタックの犯人はまだ明らかになっていないが、eBayは法執行機関やセキュリティ専門家と協力して究明に取り組んでいる。今のうちにパスワードを変更しておくことをお勧めする。
追記:サイバーセキュリティ・リポーターのブライアン・クレブスは、Pastebinの投稿はビットコインをだまし取ろうとするものである可能性が高いと指摘している。しかし、いずれ本物の犯人が個人情報を売ろうとする可能性もゼロではない。Pastebinの投稿で売りに出されることはないかもしれないが、それでもユーザーの情報が危険にさらされていることに変わりはないのだ。
画像提供:jessicalstreit (Flickrより)
Selena Larson
[原文]
※本記事はReadWrite Japanからの転載です。転載元はこちら
