Tweet

便乗した「フィッシング」には十分注意を

LinkedInでパスワード流出が発覚、変更を呼び掛け

2012/06/07

　ビジネス向けソーシャルネットワークサービス「LinkedIn」で、約650万件にも及ぶ大量のパスワードが流出したことが明らかになった。同社は6月6日、流出の事実を認め、流出の経緯などを調査するとともに、該当するユーザーにパスワードを変更するよう呼び掛けている。

　パスワード流出は、ロシアのWebサイトに、SHA-1でハッシュ化されたパスワードのリストが、「これをクラックしてほしい」というリクエストとともにアップロードされたという一部メディアの報道によって明らかになった。ただし、この情報にはアカウント名は含まれていないという。

　LinkedInはその後の調査で、このリストに含まれるパスワードの一部が、同サービスのものであることを確認。当該アカウントのパスワードを無効化する措置を取ったという。該当するユーザーには電子メールを送付し、パスワードリセット手順を通知した。

　なお、パスワード流出に便乗したフィッシング詐欺が行われる恐れもあることから、LinkedInから送付される電子メールには、リンクは記載されていない。電子メールに記されているリンク先や、「パスワードが流出したかどうかを調べる」と称するWebサイトには、安易に情報を入力しないよう注意が必要だ。またSANSでは、パスワードの「使い回し」も避けるよう警告している。