Twitterでダイエットスパム拡散、Gawkerのパスワード流出と関連か

Lifehacker、Gizmodoなどのブログメディアを運営するGawkerから、ユーザーのメールアドレスとパスワードが流出した。パスワードの使い回しが原因で、この問題がTwitterでのスパム拡散につながっているようだ。

[Brian Prince，eWEEK]

　米ブログメディア企業Gawker Mediaのサーバがこの週末、ハッカーによる攻撃を受けたことで、同社が運営するWebサイトの登録ユーザーのメールアドレスとパスワードが流出し、恐らくそれが原因でTwitter上にスパムが拡散しているようだ。

　この攻撃については既にGnosisと呼ばれるグループが、自分たちが仕掛けたものだと名乗り出ている。流出したデータは500Mバイトのファイルに収められており、中には、Lifehacker、Gizmodo、Gawker、io9、Jalopnik、Kotaku、Jezebel、Fleshbot、Deadspinといった、Gawker Mediaが運営する複数のサイトのユーザーに関する情報が含まれているという。

　攻撃者はユーザーのパスワードのほか、Gawkerのソースコード、従業員同士のチャットログ、Gawkerのスタッフのユーザー名とパスワードも盗み出している。

　Gawkerは自社のサイトのFAQコーナーで、次のように説明している。「Gawker MediaのいずれかのWebサイトにアカウントを登録済みの皆さんのうち、Facebook Connectを使ってログインしたのではない方々は、今回の流出データに自分のユーザー名とパスワードが含まれていると考えるのが賢明だ。当社のデータベースではパスワードは暗号化されているが（つまり、プレーンテキストでは保存されていないが）、それでもハッカーの攻撃を受ける可能性がある。アカウントのパスワードはただちに変更していただきたい。そして、もしそのパスワードをほかのWebサイトでも使用しているのなら、そうしたすべてのアカウントでパスワードを変更していただきたい」

　Gawkerの説明によれば、同社ではTwitterやFacebookのパスワードは保管していないという。つまり、それらのパスワードを使ってGawkerのサイトにログインしているユーザーは、本来であれば、攻撃の影響を受けないはずだ。しかし、実際にはそうはいかなかった。なぜなら、多くのユーザーは複数のサイトで同じパスワードを使い回しているからだ。Twitterの信頼＆安全チームの担当主任、デル・ハーベイ氏によると、今回Gawkerのパスワードが流出したことがTwitter上でのスパム拡散の直接の原因とみられるという。

　セキュリティ企業の英Sophosによれば、何十万件ものTwitterアカウントのセキュリティが侵害され、アサイーベリーを使ったダイエットの宣伝スパムの拡散に使われているもよう。スパムメッセージの内容は「アサイーで4キロやせました！　リツイートして！（リンク）」といったもので、リンクをクリックすると、このダイエット食品の宣伝ページに誘導されるようになっている。

　「複数のWebサイトで同じパスワードを使用することの危険性を認識しているコンピュータユーザーの数は、まだ十分とは言えない。そういった使い回しをしていると、今回のGawkerのケースのように、どれか1つのサイトがハッキング攻撃を受けただけで、ほかのWebサイトへのアクセスも許してしまうことになる。いったん1つのパスワードのセキュリティが侵害されたら、詐欺師がそのユーザーの別のアカウントにアクセスして金銭目的で情報を盗めるようになるのは時間の問題だ」とSophosの上級テクノロジーコンサルタント、グラハム・クルーリー氏はブログで指摘している。

　今回のハッキング攻撃への対応として、Gawkerはセキュリティ強化のために第三者のセキュリティ企業を雇い入れる予定であり、また「信頼できるレベルのセキュリティ」を維持すべく今後も独立した監査役と協力を続けていく方針であることを明らかにしている。

原文へのリンク