米LinkedInパスワード漏えい事件、「会員情報漏えいは確認されていない」


 米LinkedInのパスワード約650万件が流出した事件に関し、同社は9日、公式ブログで最新状況を報告した。

 同社によると、ハッシュ化されたパスワードが流出し、「その一部」が解読されたことを確認したとしている。しかしそのパスワードに対応するメールアドレスは「公開されていない」としている。また現時点で、「LinkedIn会員情報が公開された事例は確認できていない」ため、公開されてしまった情報は「パスワードのみ」だと説明している。

 同社では今回、危険と判断されるパスワードをすべて無効化する措置を取った。そして、もし自分のパスワードが無効化されていない場合、「それはあなたのアカウントがリスクにさらされていないと考えられるからだ」と説明している。その上で、数か月に1度、LinkedInのみならず、様々なウェブサービスのパスワードを変更するよう推奨している。

 同社では今後のセキュリティー強化策として、これまでパスワードのハッシュ化しか行っていなかったデータベースシステムを、ハッシュ化に加えてソルトするシステムへ移行する。これは業界内でベストプラクティスだとされているもので、LinkedInはこれまで実施していなかったことになる。それ以外にも、同社のセキュリティーロードマップに沿って強化策を取ると説明している。


関連情報


(青木 大我 taiga@scientist.com)

2012/6/11 00:00