2012年10月15日月曜日

Yahoo!アカウント44万2,773件大量流出から学ぶべき教訓

  • このエントリーをはてなブックマークに追加
Formspring、LinkedInなどのアカウントの個人情報の大量流出がとまらず、これらのアカウントの所有者に大損害をもたらす恐れがあります。一方でこれらのデータを分析することは、私たち自身のアカウントが危険かどうかを判断する方法になるという利点があります。

それだけでなく、流出したアカウントでもかなり使われていたおよそユニークとは言えないパスワードを自身も使っていないかどうか、この事例がもたらす知見とともに絶対選んではいけないパスワードとPINコード25選を再考する、またとない機会にもできます。

筆者の同僚 Anders Nilsson がEurosecure ブログで、Dan Goodin氏が報告したYahoo! の流出事件から得たデータを検証し、詳細な統計を紹介しています。

従って、データ全体をここに再掲するよりは、読者の方にそのブログを読むことをお勧めします。ただ安全でない、使われ尽くされた、類推されやすいパスワードのランキングリストだけは、当ブログでも、ほかの場所でも紹介されているので、ここでも再度ご紹介しておきたいと思います。

このリストは、この話題について以前の記事で引用した Mark Burnett 氏のものよりも新しいもので、ここでは第10位までを抜粋しました。

1. 123456 = 1666件 (0.38%)
2. password = 780 件 (0.18%)
3. welcome = 436 件 (0.1%)
4. ninja = 333 件 (0.08%)
5. abc123 = 250 件 (0.06%)
6. 123456789 = 222 件 (0.05%)
7. 12345678 = 208 件 (0.05%)
8. sunshine = 205 件 (0.05%)
9. princess = 202 件 (0.05%)
10. qwerty = 172 件 (0.04%)

TrustedSecブログの示唆するところでは、個人情報が流出した Yahoo! サービスは、Yahoo! Voiceなので、そこにアカウントをお持ちの読者の方は、パスワードが強固なものだったとしても、変更しておくのが良いでしょう。

もし、上記のパスワードをどこかで使っていたとしたら(また同様に、Burnett氏が編集した下の25のパスワードの内のいずれかに当てはまれば)、パスワードの質を上げる方法を検討するか、パスワード管理プログラムを探すのが良いかもしれません。

1. password
2. 123456
3. 12345678
4. 1234
5. qwerty
6. 12345
7. dragon
8. pussy
9. baseball
10. football
11. letmein
12. monkey
13. 696969
14. abc123
15. mustang
16. michael
17. shadow
18. master
19. jennifer
20. 111111
21. 2000
22. jordan
23. superman
24. harley
25. 1234567

24番目の「harley」は、ESET研究員(David Harley)自身の姓ですが、これは偶然で、David Harleyの名前をオンラインサービスのログインに使ったことで漏洩させたわけではありません。このリストを発表した前回の投稿で、ESET研究員はこのように書いたのを覚えています。

「トップ25位までを収録したのは、24位が私自身の姓だったのがおもしろかったからです。ただ、これは私が超有名人だからではなく、バイクのHARLEY DAVIDSONに由来するのではないかと思います。」

個人情報が、お使いのサービスから漏洩した場合、とるべき解決法はあまり多くありません。

・できるだけ早くパスワードを変更する
・サービスプロバイダーにセキュリティの向上を要請する
・より安全なサービスが利用できないか検討する

もちろん全てのパスワードを推理されにくく、突破されにくいものに変更するのは、対策としては王道です。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る