GitHubにブルートフォース攻撃、一部のパスワードが破られる強固なパスワード設定や二要素認証を推奨

GitHubは米国時間の2013年11月19日、アカウントを破ろうと試みるブルートフォース攻撃を受けたことを明らかにした。

» 2013年11月21日 17時13分 公開
[高橋睦美,@IT]

 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。

 ブルートフォースとは、辞書などを用いて総当たり式にパスワードを試し、不正ログインを試みる攻撃のことだ。GitHubによると、今回の攻撃は4万近くの異なるIPアドレスから時間を掛けて行われた。この結果、脆弱なパスワードや、複数のサイトで使い回されているパスワードなどが破られたという。

 GitHubでは、不正ログインの被害に遭ったユーザーにはメールで通知を行うとともに、パスワードのリセット、アクセストークン、OAuth認証、SSH鍵の失効措置を取った。また、攻撃に使われたIPアドレスからログインした形跡があった一部の強力なパスワードを使っていたユーザーについても、同様の措置を取ったという。

 GitHubでは、一連の攻撃に関する調査を進めるとともに、ログインのレートリミットの強化といったサーバ側の対策を実施。同時にユーザーに対しては、広く知られている脆弱なパスワードを利用せずに強固なパスワードを設定し、二要素認証を利用すること、ログイン試行の履歴を確認できる「Security History」ページを参照することなどを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。