GitHubに「総当たり」攻撃、安易なパスワードが破られる

ブルートフォース攻撃によって強度の弱いパスワードが破られた。「今後は安易なパスワードではGitHub.comにログインできなくなる」という。

» 2013年11月21日 07時55分 公開
[鈴木聖子,ITmedia]

 ソフトウェア開発プロジェクト管理サービスのGitHubは11月19日、ユーザーのアカウントに対して総当たり方式でパスワード破りを試みるブルートフォース攻撃が仕掛けられ、一部の強度の弱いパスワードが破られたと発表した。

 GitHubのブログによると、4万あまりのIPアドレスを使ったブルートフォース攻撃が仕掛けられ、強度の弱いパスワードや複数のWebサイトで使い回されているパスワードが破られたという。

 被害に遭ったユーザーにはメールで通知した上で、パスワードをリセットするとともに、アクセストークンとOAuth認証、SSH鍵を失効させる措置を取った。リセット後は強力なパスワードの設定が必要になる。

 また、強力なパスワードを使っていたユーザーのアカウントの一部も、攻撃に使われたIPアドレスからログインされた形跡があったとして、慎重を期してリセットした。

 調査はまだ続いていて、ソースコードやアカウント情報などに関連した不正アクセスがなかったかどうかを調べているという。

 GitHubは今回の事態を受けてセキュリティ対策を強化すると表明した。ユーザーには強力なパスワードの設定と2要素認証の利用を促し、「今後は安易なパスワードではGitHub.comにログインできなくなる」としている。

Copyright © ITmedia, Inc. All Rights Reserved.