米LinkedIn「メールアドレス漏えいは確認できない」、PW変更をお願い


 米LinkedInの暗号化されたパスワード約650万件が漏えいし、一部が解読された問題で、同社は7日、最新状況を公式ブログで報告した。

 LinkedInが確認できた限りでは、「パスワードと関係のあるメールログインは公開されておらず、いかなる会員に対しても、不正アクセスが行われたとの確証された報告は1つも受け取っていない」と説明している。

 同社は6日の段階で、該当すると思われるパスワードすべてをリセットし、パスワード変更を求めるメールをユーザーに送信。事態の推移を報告することを約束していた。

 さらに今回、新たに影響を受ける可能性があると考えられるアカウントに関しても、パスワードをリセットすることを発表。該当者は、同社から対応方法についてのメールを受け取ることも発表した。

 そして「我々の現在のアカウントパスワードのプロダクションデータベースは、ソルトされ、ハッシュされている」とした。「現在の」という表現からは、いつごろソルト(解読されにくくするために、ハッシュを生成する際、あらかじめパスワードの文字列に任意の文字列を追加しておくこと)されたのかは読み取れない。今回の事件では、同社がSHA-1アルゴリズムを使用してパスワードハッシュを適切にソルトしなかったことが失敗だと指摘されている。

 その上で、ユーザーが身を守るためにできる4つの事柄を挙げている。

  • LinkedInパスワードは最低数カ月に1回変更する。
  • 複数のサイトやアカウントで同じパスワードを使用しない。
  • 強いパスワードを使用する。強いパスワードには、文字、数字、その他の文字を使用する。
  • 個人情報または秘密情報を求めるフィッシングメールやスパムメールに十分注意する。

 

 同社ではこの件に関して捜査を開始した司法当局と積極的に協力していると説明している。


関連情報


(青木 大我 taiga@scientist.com)

2012/6/8 12:01