情報漏洩で思うこと


ロリポとかはいいや。

ここ数日、2ちゃんねるの●購入者爆死やら、ロリポの WP やら、GMO 界隈での解雇やら、GMO 社長イタイ発言集やらが話題にのぼっているのだが、あまりアットフリークスの情報漏洩は話題になっているようななってないような感じなわけであるが。

うーん。どうだろう。アットフリークスの @pages サービスの情報漏洩の悲惨さはちょっと斜め上すぎて、むしろツッコミづらいわ、という状況なんだろうか。

で、アットフリークスのページの トップ に行ってみたわけなんですよ。なんも書いてない。

えーっとなんだっけ?問題になっているサービスは?とか思いながら、@pages のページ に飛んでみるわけです。場所分かりにくいね。

今となっては、もうサービスの内容とかどうでもいいよくて、この情報は一番目立つとこにあってもおかしくないんじゃないかなぁ、とは思いましたが、そんなん知ったことかよ、って感じでしょうか。基本無料だしね。

ちょいと下にスクロールすると最新情報のところに申し訳程度なユーザ情報流出のお知らせとかあるんですが。

うーん。この会社、真面目にやる気あるのかないのか分からないけど、情報流出の現状が以下のページに書いてある。

【お詫び】ユーザ情報流出に関するお知らせ

【お詫び】ユーザ情報流出に関するお知らせ【第2報】

流出した内容とか書いてあるわけですが、なんといっても、メールアドレスと「平文の」パスワードがあるのはアウトすぎるアウトだろ。しかも、175,297 件。

私個人的には、アウトすぎて、もう目もあてられない。

情報流出内容にメールアドレスが入っていても、あまりに問題にならないのは、まぁ、表に出ても当たり前っていうか、それがあってのメールなわけだから、気にしない感じなんですかね?

本当にそうなんですかね?

amazon 使ってる人多いと思うし、サインインの画面を見たこともある人多いと思うだけど、ID ってメールアドレスなわけじゃないですか。

別に amazon だけに限った話じゃなくて、メールアドレスが ID になってるサービスはそれなりにあるわけです。

で、今回のアットフリークスの情報流出内容に、メールアドレスと「平文の」パスワードがあるわけでしょ?

「お察しください」

175,297 件中、どれだけの人がパスワードを使い回しているのでしょうか?

コワイですねぇ。

攻撃者は同じサイトを何回も攻撃する必要はまったくないわけですよ。

各サイトにつき一回だけアクセスしてみればいいだけ。メールアドレスと漏れたパスワード使って。

たったの一回でいいんです。

攻撃者はターゲットとするサイトを複数用意して、それぞれにたった一回づつアクセスを試みるだけでいい。

攻撃者は入れなかったら次の組み合わせを試すだけだし、アクセスされたサイト側も検出は難しい。

同一の IP アドレスからの失敗が繰り返されると対策をとれなくもないけど、攻撃者はそんなしょぼくないだろしねぇ。

そういったところまで、漏らされた人は考えているだろうかね。

アットフリークスも、「弊社において、流出に起因する被害の発生を防ぐ措置について検討しております。」なんて書いてる暇あるなら、「パスワードを使いまわしている人はすぐさま他のサイトのパスワードも変更してください」と言うべきところなんだと思うんだよねぇ。

またまた amazon を例にすると、何かを無駄に購入されたり、とかそういうのもたしかにコワイとは思うんですよ。嫌いな奴に、大量のドクペとかキムワイプとか塩とか砂とかを、「嫌いな奴の金で」買って送り付けたりもできるわけだから。

でも、これは返品ができる可能性もあるし、クレカなら保険で金銭的な負担はなんとかなるかもしれない。

でも、過去の購入履歴が全部筒抜けになるほうがもっと嫌なんじゃないの?とも思うわけですよ。趣味嗜好が全力バレする危険性もあるわけですよ。それって自分が思っている以上に嫌なことじゃないの?

(amazon ばっかりを引き合いに出して、amazon 嫌いなのか?と疑われなくもないけど、amazon は普段からよく利用していて、何ができるかをそれなりに分かってるから、例にしてるだけで他意はないです。)

以上が、アットフリークスにまつわる情報流出でもにょったことでした。

平文だからダメなのか?

そんなことはないんですよねぇ。

たとえハッシュでもあってもダメ。

理由は徳丸浩さんの日記でも読むと分かります。

パスワードの定期的変更について徳丸さんに聞いてみた(1)

パスワードの定期的変更について徳丸さんに聞いてみた(2)

攻撃者からすれば、嫌いな奴らが含まれているかどうかだけを探して、見つかった分だけに対してブルートフォースでもしかければ十分なんですよねぇ。元のパスワードが短ければ短いほどバレるのも早いわけで「平文の」パスワードが漏れたも同じなわけですよ。

事業者側は「情報は流出させない」が基本で、今とれる対策は全部とっておくべきだろうし、ユーザー側は、パスワードをできる限り長くする。8 文字よりも 10 文字、20 文字のがバレにくくなるわけで。

例え、英数字だけ構成されていたとしても 50 文字とかになってくると、なかなか?かなり?大変なんよねぇ。よっぽど特徴的で検索すればヒットしちゃうようなのはもちろんダメだけど。

大文字英字+数字だけの 50 文字って、どれくらいかっていうと。

653,318,623,500,070,906,096,690,267,158,057,820,537,143,710,472,954,871,543,071,966,369,497,141,477,376 通り

大きすぎてよく分からんね。

Top500 に載ってる世界最速のマシンの Rpeak 54,902.4TFLOP/sec、Linpack Rmax 33,862.7 TFLOP/sec なんすな。100PFLOP/sec には届いてない。100 ペタって 100,000,000,000,000,000 なんす。そんなもんなんすなぁ。

たかだか 0 が 17 個後ろに並んでるだけよりは小さい。それでもすごいわけなんだけど。

まとめ

パスワードをできる限り長くする。金をケチって変なサイトを使わない。大手を選ぶのも、金をかけるのも、それなりの理由があるってことです。

そんじゃーねー。

(某ち○き○こと伊賀氏は残念な意識高い系なので嫌いです。)


戻る