LinkedIn、今後の対策を発表--パスワード流出事件を受け

UPDATE 　LinkedInは、先週大量のパスワードがオンラインに流出したことを受けて、ユーザー保護のために現在行っている対策に関する最新情報を投稿した。

　同投稿には、「第一に、被害に遭ったパスワードは対応する電子メールログイン情報とともに公開されたわけではない、ということを知っておくのは重要なことだ。パスワードが最初に公開されたとき、その圧倒的多数はハッシュ化、つまり暗号化されたままだったが、残念なことに、一部のパスワードの暗号が解読されてしまった。もう一度言うが、盗まれたパスワードのリストと関連するユーザー情報が公開された事例をわれわれはまだ一度も確認していない。公開された情報はパスワード自体のみだ」と書かれている。

ユーザー保護のために講じている対策に関する最新情報

Vicente Silveira、2012年6月9日

　LinkedInのハッシュ化されたパスワード650万件が盗まれ、不正なウェブサイト上で公開されたことを伝える最近の報道を、皆さんの多くは既に読まれたことだろう。われわれは、この犯罪活動を極めて深刻に受け止め、現在、米連邦捜査局（FBI）と密接に連携している。FBIはこの犯罪の犯人を積極的に追跡している。ご存知の方もいるかもしれないが、同様の窃盗被害に遭ったウェブサイトがほかにも複数あることが報じられている。われわれは、可能な限りの透明性をもって情報を提供するとともに、現在進行中の捜査に悪影響を及ぼすことなくユーザーのセキュリティを保護したいと考えている。この投稿で、われわれはユーザーから寄せられたさまざまな質問に答え、今回の件について現在までに何が分かっているか、われわれがどのように対応してきたか、そして今後ユーザーを保護するためにどのような対策を講じていくのかを皆さんにお知らせしたいと考えている。

　第一に、被害に遭ったパスワードは対応する電子メールログイン情報とともに公開されたわけではない、ということを知っておくのは重要なことだ。それらのパスワードが最初に公開されたとき、その圧倒的多数はハッシュ化、つまり暗号化されたままだったが、残念なことに、一部のパスワードの暗号が解読されてしまった。もう一度言うが、盗まれたパスワードのリストと関連するユーザー情報が公開された事例をわれわれはまだ一度も確認していない。公開された情報はパスワード自体のみだ。

　この投稿に、ユーザーから多く寄せられている質問への答えが並び、最後にLinkedInのユーザーにもたらした不便について謝罪の言葉がつづられている。

　以下が、ユーザーから多く寄せられている質問への回答の1つである。

3. LinkedInはメンバーを保護するためにどのような対策を考えているのか。

　われわれは世界最大級のセキュリティチームを結成しており、その中には2010年に入社したYahooの元バイスプレジデント兼最高情報セキュリティ責任者Ganesh Krishnanなどの専門家も含まれる。このチームはオペレーション担当シニアバイスプレジデントであるDavid Henkeの直下に配置されている。

　同チーム主導で実施した主な戦略の1つは、パスワードをハッシュ化するデータベース（暗号化のレイヤーは1つである）という手法から、ハッシュ化に加えてソルティングも行う（業界でベストプラクティスとして広く認められている保護のレイヤーを追加で備える）システムへの移行だ。移行作業は、パスワード盗難のニュースが流れた6日以前に完了した。われわれは今後もセキュリティに関するロードマップを実行し、ユーザーを保護するための新たな強化策を発表する予定だ。