このページの本文へ

ハッカー集団が12億のID/パスワード入手 - "世界最大規模"の情報漏洩事件の真相とは

2014年08月12日 11時00分更新

文● 鈴木淳也(Junya Suzuki)

  • この記事をはてなブックマークに追加
  • 本文印刷

"ふたつ"の教訓

 筆者は、Hold Securityの報告により、ふたつほど得られたものがあると考えている。ひとつは、これだけの重要なデータをハッカー集団に盗まれているにもかかわらず、彼らがそれをほとんど悪用していないという点だ。

サイトごとにID/パスワードを異なるものに設定する

 特に、Holden氏のコメントによれば「ハッカー集団は金銭関係の情報をほとんど無視している」という。ならば対策は簡単で、ログインパスワードを変更してしまえばいい。

 そして可能であれば、サイトごとにID/パスワードを異なるものに設定することで、12億以上というID/パスワードの組み合わせデータの鎖から脱出することができる。

 もちろん、「ウェブサイトごとに違うID/パスワードを設定すると憶えきれない」という人もいるだろう。異なるID/パスワードの組み合わせを記録して、ログイン補助をしてくれる「キーチェーン」のようなソフトウェアが存在しているが、この手のソフトウェアは漏洩時のリスクがより高く、個人的にはあまり信用していない。筆者の場合、頻繁に利用するウェブサイトが20〜30くらいあるが、異なるID/パスワードの組み合わせを5〜8個くらい用意して、比較的ランダムにサイトごとに割り当てている。これならば憶えるのもそれほど難しくないし、被害も最小限で食い止められる。

「親切な人を信用するな」

 ふたつ目の教訓は、「親切な人を信用するな」という点だ。先ほど挙げた1300近い大手メディアでの初期の報道は「警告」にとどまっており、Hold Securityの信憑性そのものに踏み込んでいる例はほとんどなかった。

 だが、時間が経過すると、当然ながら疑問を呈する発言が目立つようになる。典型的なものはForbesのJoseph Steinberg氏の記事だろう。同氏はHold Securityの報告に懐疑的であり、いくつかのパートにわたって情報を分析している。

Joseph Steinberg氏による記事。Hold Securityの報告に懐疑的であり、いくつかのパートにわたって情報を分析している

 最初の疑問は筆者と同様で、ID/パスワードという最も重要なデータを入手しているにもかかわらず、これをほとんど悪用していない点だ。しかも、Hold Securityが示したような形で入手されたデータが過去数ヵ月で悪用された報告がなく、(なぜいまなのか? という)発表タイミングを考えても唐突な印象があるという。

 また12億という数字が積み上げられたものである以上、先ほどの筆者の説明にもあるよう、当然ユーザーは時間の経過とともにパスワードを念のため変更してくるだろう。すると、実際に有効なID/パスワードの組み合わせは12億という数字をはるかに下回る可能性があると予測できる。

 Forbesの最初の報告でもあったように、Hold Securityによればロシアのハッカー集団は"ボットネット"や「SQL Injection」といった比較的オーソドックスな手法を用いて侵入しているといい、同社ではこの対策サービスをわずか120ドルで提供している。これではマッチポンプといわれても仕方がない気がする。

 以上を踏まえて、Steinberg氏はHold Securityの行動そのものに疑問を投げかけている。同氏はセキュリティ関係を専門に執筆を続けている筆者で、NYTの報道以前に「Hold Securityの名前を聞いたことがない」としている。

 またセキュリティ企業であれば、こうした情報漏洩では一定の手順を踏んで情報公開を行ない、必要であればすぐに関連機関や問題となっている企業に対して情報を提供するものだが、Hold Securityにはこうした行動がみられないという。とにかく、情報公開もなく不自然な動きが目立つというのだ。

カテゴリートップへ

注目ニュース

ASCII倶楽部

プレミアムPC試用レポート

ピックアップ

ASCII.jp RSS2.0 配信中

ASCII.jpメール デジタルMac/iPodマガジン