画像アップロードサイト「Imgur」が2014年に不正侵入され、約170万人分のユーザーアカウント情報が盗まれたことが発覚した。
画像アップロードサイト「Imgur」は2017年11月24日(米国時間)、ハッカーが2014年にImgurのシステムに侵入し、約170万人分のユーザーアカウント情報を盗んだことを明らかにした。スロバキアのセキュリティ企業ESETは2017年11月27日(現地時間)、公式ブログでこのインシデントの概要を紹介し、Imgurの対応を論評した。
以下、内容を抄訳する。
Imgurは、Webサイト「Have I Been Pwned」を運営するセキュリティ専門家のトロイ・ハント氏から2017年11月23日に連絡を受け、情報漏えい被害の発生を確認した。Have I Been Pwnedは、自分のアカウントがハッキング被害にあっていないかどうかをユーザーが確認できるサイトだ。
2017年11月23日は、米国では感謝祭の休日だったが、Imgurはハント氏の通報に迅速に対応し、流出データにユーザーのログイン資格情報が含まれていることを確認。翌日に、影響を受けたユーザーのパスワードをリセットするプロセスを開始した。
Imgurは、2017年11月24日付のブログで次のように述べ、セキュリティ侵害を受け、電子メールアドレスとパスワードが漏えいしたことを認めた。
「Imgurは2017年11月23日に、『2014年にセキュリティ侵害が発生し、170万人分のユーザーアカウントの電子メールアドレスとパスワードに影響した可能性がある』との通報を受けた。われわれはこの不正侵入について鋭意調査中だが、今、分かっていることと、われわれがどのような対応を取っているかを、皆さんにできるだけ早くお知らせしたかった」
幸い、Imgurはユーザーに他の個人情報の提供を求めていないので、これら以外に盗難にあった情報はない。本稿執筆時点でImgurは、ハッカーがセキュリティシステムを破った方法については、依然として調査中だ。
だが、Imgurは侵害を受けた2014年当時、「SHA-256」アルゴリズムでパスワードにスクランブルを適応していたことを認めている。このアルゴリズムは近年、不人気になっている。Imgurも2016年に、より強力な「BCrypt」アルゴリズムに移行したという。
「同じパスワードを複数のオンラインサービスで使ってはならない」という原則は、近年では常識となっているが、今回発覚したImgurのインシデントは、あらためてその重要性を認識させられる。パスワードを使い回していると、あるサービスで流出した場合、他のサービスでも不正行為に悪用される恐れがある。
Imgurは、そもそもハッキングを防げれば一番良かったが、それでも、以下の2つの点で称賛に値するだろう。
Copyright © ITmedia, Inc. All Rights Reserved.