3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪

次の記事

ZumoDrive、独自のクラウドストレージおよび同期アプリケーションの開発費用として$1.5Mを調達

今日、ソーシャル・ガジェットの大手サイト、RockYouがハッカーに侵入され、3200万以上のユーザーアカウントの情報が盗まれたという ニュースが報じられた。しかも、最悪なことに、RockYouはユーザーの個人情報をすべて平文のままデータベースに保管していたことが判明した。RockYouはまだこのデータ漏洩の事実を認めておらず、公式ブログは奇妙な沈黙を続けたままだ。しかし詳細が明らかになるにつれて、事態のひどさがますます分かってきた。

RockYouは「大した問題ではない」ことにしようとやっきになっている。当初まずユーザーに事件を通知せず、次にはブログで「漏洩があったのは古いバージョンのアプリ関連の情報だけだ」とした。しかしRockYouに侵入したハッカーは「全データベースへのアクセスに成功している」と主張し、それを裏付けるために盗んだデータの一部を公開した。そのデータによると、驚いたことに、RockYouはユーザーのパスワードを暗号化せず平文のままデータベースに保管していた。やがて問題のデータにはユーザーが入力した他の提携サイトのパスワードも含まれていることが分かり、事態は当初に考えられていたよりずっと深刻であることがわかった。

データベースには、RockYouの提携サービスの一覧と個別ユーザーのそれらサービスへのログイン情報が含まれていた。提携サービスにはMySpaceやウェブメールのアカウントが含まれていた。以下は公表されたデータの一部だ。

Data UserAccount [32603388]
================
1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com
2|phdlance@gmail.com|mek*****|myspace|1|
3|jennaplanerunner@gmail.com|mek*****|myspace|0|
5|teamsmackage@gmail.com|pro*****|myspace|1|
6|ayul@email.com|kha*****|myspace|1|tagged.com
7|guera_n_negro@yahoo.com|emi*****|myspace|0|
8|beyootifulgirl@aol.com|hol*****|myspace|1|
9|keh2oo8@yahoo.com|cai*****|myspace|1|
10|mawabiru@yahoo.com|pur*****|myspace|1|
11|jodygold@gmail.com|att*****|myspace|1|
12|aryan_dedboy@yahoo.com|iri*****|myspace|0|
13|moe_joe_25@yahoo.com|725*****|myspace|1|
14|xxxnothingbutme@aol.com|1th*****|myspace|0|
15|meandcj069@yahoo.com|too*****|myspace|0|
16|stacey_chim@hotmail.com|cxn*****|myspace|1|
17|barne1en@cmich.edu|ilo*****|myspace|1|
18|reo154@hotmail.com|ecu*****|myspace|1|
19|natapappaslie@yahoo.com|tor*****|myspace|0|
20|ypiogirl@aol.com|tob*****|myspace|1|
21|brittanyleigh864@hotmail.com|bet*****|myspace|1|myspace.com
22|topenga68@aol.com|che*****|myspace|0|
23|marie603412@yahoo.com|cat*****|myspace|0|
24|mellowchick41@aol.com|chu*****|myspace|0|
25|baiko0o@aol.com|may*****|myspace|0|
26|indahamzah84@hotpop.com|lov*****|myspace|0|

ハッカーは最初に簡単なSQLインジェクション脆弱性を利用した。この脆弱性は10年以上前から詳しく文書化されているもので、ハッキングの手口としてはこの上なく初歩的である。しかしその結果はRockYouにとって壊滅的だった。ユーザーも巻き添えを食って深刻な被害を受けている。RockYouのセキュリティー態勢はスイスチーズも同様に穴だらけでいいかげんなものだったことが暴露された。こうした事態が起きたのは当然だ―むしろ今まで起きなかった方が不思議なくらいだ。

RockYouのどこがいけなかったのか

弱いパスワード

ユーザーがRockYouでアカウントを作る際のパスワードの文字数の下限はたった5文字だった。しかも大文字、小文字、数字、記号などを混ぜるよう要求されることもなかった。それどころか、RockYouのシステムは記号を一切受け付けなかった。

パスワードを平文で保管

RockYouはデータ漏洩発覚後も依然としてパスワードを平文で保管し、平文のままメールで送信している。ハッカーの侵入が発生したのは10日前であり、RockYouは侵入があったことを承知しているにもかかわらず、今日RockYouでアカウントを作成したユーザーのパスワードは依然として平文で保管され、平文でユーザーにメールされている。

提携サイトのパスワードを要求する悪癖

サードパーティのサイトでRockYouガジェットを利用したりデータを共有したりしようとすると、RockYouはそのサイトのログイン情報をRockYouサイトで直接入力するよう要求する。FacebookはRockYouにログイン認証させず、独自に認証する方式を取っており、今日からMySpaceもその方式に改めた。 しかし他の大部分のサイトではサードパーティのパスワードの入力を要求する馬鹿げた方式が続いている。「当サイトではパスワードは保管しません」と告げたからそれでいいというものではない。

対応が最悪

RockYouがデータが盗まれたことに気づいたのは何日も前だ。それなのにハッカーがその事実を暴露して大騒ぎになるまでRockYouはだんまりを決め込んでいた。(RockYouは依然としてユーザーに通知していない。ネットでこのニュースを読んだユーザー以外は個人情報が盗まれたことを知らないままだ)。.

ウェブサービスを利用するユーザーはそのサービスがデータ漏洩があった場合にそれをきちんとユーザーに伝えることを約束しているか、ユーザーのプライバシーの保護をどれほど真剣に考えているかなどについてサービス約款を調べてみたほうがよい。

RockYouはこの重大な問題について依然として無頓着だ。RockYouは未だにデータ漏洩の原因となった欠陥に対処していない。ユーザーに適切な方法で事情を説明することもしない。本来なら、サイトを数時間閉鎖し、ユーザーには新たなパスワードを設定するよう強制しなければならないところだ。またそのパスワードは暗号化するかハッシュ化して保管するようにするのが当然だ。ところが大多数のユーザーは何が起きた知らないままだし、このデータ漏洩によって現実に被害を受けるユーザーはほとんどいないだろう。しかもRockYouはユーザーのプライバシーの保護に関してまったく何の保証もしていない。残念なことに、RockYouはこのちゃらんぽらんな態度のまま逃げ切れそうなのだ。

読者がパスワードを平文のままメールで送り返してくるようなサービスを知っていたらコメント欄あるいはメールで知らせて欲しい。われ
れはそれら全てを調査し、必要があれば記事で告発するつもりだ。

ちなみにこのサイトのプライバシー及び関連するセキュリティーに関する規約

データセキュリティーに関する約款
RockYou! は商業的に妥当な範囲で物理面、管理面、技術面でユーザーの個人情報の適切な管理と保護とに努める。ただし、RockYouはユーザーが当サービスに送信した情報のセキュリティーを保証することはできない。ユーザーは自己責任でこれらのデータを入力するものとする。〔以下英文〕

Once we receive your transmission of information, RockYou! makes commercially reasonable efforts to ensure the security of our systems. However, please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.

If RockYou! learns of a security systems breach, then we may attempt to notify you electronically so that you can take appropriate protective steps. RockYou! may post a notice on the RockYou! Sites if a security breach occurs. Depending on where you live, you may have a legal right to receive notice of a security breach in writing. To receive a free written notice of a security breach (or to withdraw your consent from receiving electronic notice) you should notify us using this contact form.

[原文へ]

(翻訳:滑川海彦/namekawa01

“3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪” への12件のフィードバック

  1. […] 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 […]

  2. […] 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 […]

  3. […] TechCrunch Japan 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 […]

  4. sis より:

    ここでメアドさらされた人は、どうなんだろう・・・
    記事用の仮想のメアド?とかいっても、実際持ってる人がいるかもしれないよ。
    これでスパムがたくさん届くね!それよりパス漏洩の方が甚大なのは確かだが。

  5. wawnnabi より:

    記事中の「ハッカー」を「クラッカー」に直してください。

  6. […] 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 […]

  7. […]  今日、ソーシャル・ガジェットの大手サイト、RockYouがハッカーに侵入され、3200万以上のユーザーアカウントの情報が盗まれたという ニュースが報じられた。しかも、最悪なことに、RockYouはユーザーの個人情報をすべて平文のままデータベースに保管していたことが判明した。 ・TechCrunch […]

  8. rxk14007 より:

    日本でもパソコン通信時代からの老舗ISPが、パスワードを平文で保存しているんだけど、取り上げてくれるのかな。

  9. […] TechCrunchより引用 […]

  10. […] Posted 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪. […]

  11. […] 3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪 (TechCrunchから引用) […]

  12. […] 違うね。RockYouが3200万ものパスワードを暗号化せずにそのまま保存したり、RapLeafが6億のメールアカウントをインデクシングしたり、Intelius が1億ものプロフィールページを買って株を公開する、なんて事件が起きることからも分かるように、ソーシャルネットワークはわれわれのプライバシーを“プライバシー劇場”(privacy theater)に売り飛ばしているだけなんだ。〔訳注: privacy theaterとは、見せかけだけで…往々にしてシステムの名前ももっともらしくて…実効のないプライバシーの仕組みや施策のこと。〕 […]

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

フォロー

新しい投稿をメールで受信しましょう。

現在394人フォロワーがいます。