米LinkedIn、パスワード約650万件が漏えいか～至急パスワード変更を

　ビジネスプロフェッショナル向けソーシャルネットワーキングサイト米LinkedInのパスワード約650万件が、何らかの理由によって漏えいしたことが明らかになった。LinkedInはこれまでにパスワードの一部が盗難された事実を確認したが、未だ全容解明には至っていないとしている。

　LinkedInは、該当するパスワードのアカウントはリセットするなどの対策を取ったとしている。しかし多くのセキュリティ関係者は、できるだけ早くパスワードを変更することを推奨している。場合によっては、さらにパスワードを変更する必要が生じる可能性も否定できないため、事態の推移を見守る必要がありそうだ。

　この事案は、LinkedInのiOSアプリが不必要なカレンダー予定情報を同社に送信していることが明らかになったプライバシー問題とは全く異なる別個の事案だ。混同しないように注意する必要がある。

　今回のパスワード漏えいは、ノルウェーのウェブサイト「Dagens IT」誌が報告したとされる。この報道では約650万のSHA-1パスワードハッシュが、ロシアのウェブサイトにアップロードされたことを伝えていた。その後、複数のセキュリティ研究者によってこの事実は確認された。

　現時点でさまざまな研究者による検証作業が行われているが、メールアドレスは漏えいしていないと考えられている。

　また、アップロードされたパスワードハッシュを解読しようとする試みが続いていることも判明しており、すべてが解読されるのは時間の問題と考えられている。

　そのため、利用者はできるだけ早くパスワードを変更するよう、セキュリティ関係者が推奨している。新しいパスワードは、推測されにくい強力なパスワードにすべきだ。また、他のウェブサイトで使用しているパスワードを流用すべきでないことはいうまでもない。

　LinkedInはこの報道を受け、当初は事実を確認できないとしていたが、その後「一部のパスワードがLinkedInアカウントと関連している」ことを認め、当面の措置を取ったことを明らかにした。該当するパスワードの使用ユーザーは、LinkedInアカウントパスワードがリセットされ、その通知メールを受け取る。このメールにはリンクが含まれていないことに注意する必要がある。もし何らかのリンクが含まれている場合、決してそのリンク先でパスワード変更手続きをすべきでない。フィッシング詐欺である可能性が極めて高いからだ。

　さらに被害を受けた会員には、2通目のメールとして、LinkedInカスタマーサポートチームから現状に関する説明を記述したメールを受け取ることになると説明している。