LinkedInの2012年の情報流出、新たに1億1700万人のパスワードが闇市場で流通

2012年の事件で流出したLinkedInのユーザー約1億1700万人の電子メールとパスワードを含むアカウント情報が、闇市場で新たに売りに出されたという。

» 2016年05月19日 07時10分 公開
[鈴木聖子ITmedia]

 2012年にビジネスSNS「LinkedIn」のユーザーのパスワードなどの情報が流出した問題で、被害に遭ったユーザーは当初伝えられた650万人にとどまらず、1億1700万人を超えていたとみられることが分かった。LinkedInは5月18日、被害に遭ったアカウントのパスワードを失効させ、ユーザーにリセットを呼び掛けていることを明らかにした。

LinkedInの声明

 Motherboardなどの報道によると、闇市場でこのほど、2012年の事件で流出したLinkedInのユーザー約1億1700万人の電子メールとパスワードを含むアカウント情報が5ビットコイン(約2200ドル相当)で売りに出された。パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかったという。

 LinkedInは18日のブログで、新たに1億人を超すユーザーの電子メールとハッシュ化されたパスワードの組み合わせが投稿されたことを確認したと説明。いずれも2012年の流出事件に関連したもので、新たな情報流出が起きた形跡はないと強調している。

 2012年の事件発生当時にLinkedInから流出したパスワードは何者かがロシアのハッカーサイトに掲載して暗号解除への協力を呼び掛け、相当数のパスワードの暗号が破られたと伝えられていた。

 パスワードの暗号化についてLinkedInでは、数年前からデータベース内の全パスワードについてハッシュとソルトを行っているほか、2段階認証などのセキュリティ対策を提供していると述べ、ユーザーにはできるだけ強度の高いパスワードを使うよう促している。

事件直後はユーザーのパスワード変更などの対応をとっていた(画像は当時のもの)

Copyright © ITmedia, Inc. All Rights Reserved.