LinkedIn、パスワードの盗難被害を認める

　ロシアのハッカーが650万人分近くのパスワードを盗み出したと主張しているという報道を受け、ビジネスに特化したソーシャルネットワークサイトであるLinkedInは米国時間6月6日、盗難にあったとされるハッシュ化されたパスワードのリストに、会員のパスワードが一部含まれていることを認めた。同サイトへの攻撃の手口は明らかにされていない。

　LinkedInのディレクターを務めるVicente Silveira氏はブログ投稿に、「被害に遭ったパスワードの一部は、LinkedInアカウントのものだったことが確認できている」と記した。LinkedInが確認したパスワードの数は不明だ。

　ブログ投稿によると、LinkedInは既にこれらのアカウントのパスワードが無効にしたという。アカウント所有者には、パスワードのリセット手順を記した電子メールがLinkedInから送信される予定だという。電子メールにはリンクが含まれないことに注意されたい。フィッシング攻撃では、電子メールのリンクを利用して偽のサイトにユーザーを導き、情報を入力させるというケースが多いため、同社はリンクを含む電子メールは送信しない予定だと述べている。

　また被害者には続いて、パスワードを変更しなければならない理由を説明するLinkedIn顧客サポートからの2通目の電子メールが送られる予定になっている。

　LinkedInは6日午前、データ漏えいを示す証拠は見当たらなかったと述べていたが、LinkedInユーザーらからは、自分のパスワードがリストにあったという報告が寄せられていた。

　LinkedInはSHA-1アルゴリズムを使ってパスワードを暗号化していたが、解読を難しくするための暗号化技術を適切に用いていなかったと、Cryptography Researchのプレジデント兼チーフサイエンティストPaul Kocher氏は指摘する。パスワードはハッシュ暗号化機能を用いて解読できないようになっていたが、「ソルティング」と呼ばれる手法でそれぞれのパスワードに使われていたハッシュをパスワードごとに固有にしていなかったという。

　「LinkedInには、2つの間違えをした」とKocher氏は述べた。「アカウントごとに調べ直さなければならない形式でパスワードをハッシュしていなかった点と、攻撃を防御するような形態で（ユーザー）データを分離および管理していなかった点である。パスワードをそのままファイルに格納していたよりはましだったが、ソルティングの失敗はそれとほとんど紙一重だった」（Kocher氏）

　ロシアのハッカーのサーバ（現在はサイトが削除されている）にアップロードされたパスワードのリストには、650万件近くの情報が含まれていたが、パスワードのうちの何件が解読されたのかは明らかではない。

　アカウント所有者のパスワードがこのリストにあるからといって、ハッカーが実際にそのアカウントにログインしたとは限らない。しかしKocher氏は、ハッカーらがユーザー名にもアクセスした可能性は高いと述べた。

　Silveira氏は、LinkedInはパスワードの被害を調査中であり、同サイトのセキュリティ強化に向けた対策を講じていると述べた。