今度はGitHubアカウントに不正侵入、パスワード使い回しが原因か
多数のGitHubアカウントが不正にログインされていたことが分かり、被害に遭ったアカウントのパスワードをリセットする措置を講じた。
GitHubは6月16日、何者かが大量のGitHub.comアカウントに対して不正アクセスを試み、多数のアカウントにログインしていたことが分かったと発表した。被害に遭ったアカウントについてはパスワードをリセットする措置を取り、アカウントの復旧方法についてユーザーに通知を送信している。
発表によると、不正アクセスの動きは米太平洋時間の14日夜に発覚し、調べたところ、多数のGitHubアカウントに侵入されていたことが分かった。過去に他のオンラインサービスから流出したメールアドレスとパスワードの組み合わせがGitHubアカウントに対して試され、パスワードを使い回していたユーザーのアカウントが被害に遭ったと推定。GitHubがハッキングされたり、同社から情報が流出したわけではないと強調している。
不正侵入されたアカウントでは、ユーザー名とパスワードのほか、アクセス可能なリポジトリの一覧や組織名といった情報が露呈した可能性があるという。
流出したパスワードを使ったとみられるアカウントの不正侵入は先にTwitterでも発覚。ユーザーが同じパスワードを複数サイトで使い回している場合、他の場所から流出したユーザー名やパスワードなどの情報を使って、アカウントを乗っ取られる恐れがあると警告していた。
これに先立ちLinkedInやTumblr、Myspaceなどから過去に流出したパスワードなどの情報が闇市場で流通していると伝えられ、安易なパスワードを使い回しているユーザーの多さが指摘されていた。
関連記事
Twitter、パスワードが流出したユーザーのアカウントを凍結
パスワードが露呈したTwitterアカウントは凍結する措置を取り、アカウント保持者にパスワードのリセットを求めているという。
Twitterユーザーのパスワードなど数千万件が闇サイトに流通
ユーザーのWebブラウザに保存されていたTwitterのパスワードやユーザー名がマルウェアを使って盗まれたと思われるという。
SNSの情報流出で詐欺メール出回る、ネット各社は使い回しパスワードを強制リセット
LinkedInから流出した情報を使ったと思われる詐欺メールが出回っているという。FacebookやNetflixは同じパスワードを使い回しているユーザーに変更を促した
暗号化推進団体のLet's Encrypt、他人のメールアドレス7618件を誤送信
Let's Encryptが会員に送ったメールの本文に、他人の電子メールアドレス0〜7618件が追加されてしまうハプニングが起きた。
情報漏えいで膨らむ損害、被害企業の平均コストは4億円超
事後対応のためのコストなどを含めた損害額は平均で400万ドル。発覚が遅れるほどコストがかさむ実態も判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。