米リンクトイン、「アカウント侵害の報告は受けていない」
約650万人分のパスワード流出に関連して

2012/6/11付
保存
共有
印刷
その他

米LinkedInは現地時間2012年6月9日、約650万人分のパスワード流出に関して発覚以降の対応について説明し、「パスワード流出によりLinkedInアカウントが乗っ取られたとの報告は今のところ受けていない」と繰り返した。同社は現在も米連邦捜査局(FBI)と協力して調査を実施している。

この事件は、LinkedInが流出源と見られる大量のパスワードがロシアのハッカーフォーラムに投稿されているのを、ノルウェーのIT情報サイトが6月6日に報じたことがきっかけで発覚。LinkedInはこれらパスワードがLinkedInユーザーのものであることを同日中に認めた。パスワードのほとんどはハッシュ化(暗号化)されたままだったが、LinkedInが「ほんのわずか」とする一部パスワードは暗号が解除されていた。

LinkedInによれば、同社はパスワード流出を知ってすぐに調査を開始した。それらがLinkedInパスワードであることを確認したのち、暗号解除されたパスワードと暗号化されたままのパスワードも含めて、同社が危険にさらされていると判断したパスワードはすべて無効にした。無効化作業に6月7日いっぱいまでかかり、その後、影響を受けたユーザーに通知メールを送信した。パスワードが無効になったユーザーには、パスワード再設定の方法を指示するメールが送られる。

同社は、フォーラムに投稿されたのはパスワードのみで、ログインに使われる電子メールアドレスなどパスワードと関連する他の情報は公開されていないことを強調した。

またLinkedInは、パスワードデータベースのセキュリティ対策についても説明した。元米Yahoo!副社長兼最高情報セキュリティ責任者のGanesh Krishnan氏などの専門家で構成されるセキュリティチームのもと、これまでハッシュアルゴリズムによる暗号化のみだったパスワードのデータベースシステムに、ソルト(salt)と呼ばれる暗号強化技術を導入した。ソルト追加はパスワード流出が報じられる前に完了していたという。同社は引き続き、セキュリティ強化のロードマップに沿った取り組みを進めるとしている。

[ITpro 2012年6月11日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]