今度はGitHubアカウントに不正侵入、パスワード使い回しが原因か
多数のGitHubアカウントが不正にログインされていたことが分かり、被害に遭ったアカウントのパスワードをリセットする措置を講じた。
GitHubは6月16日、何者かが大量のGitHub.comアカウントに対して不正アクセスを試み、多数のアカウントにログインしていたことが分かったと発表した。被害に遭ったアカウントについてはパスワードをリセットする措置を取り、アカウントの復旧方法についてユーザーに通知を送信している。
発表によると、不正アクセスの動きは米太平洋時間の14日夜に発覚し、調べたところ、多数のGitHubアカウントに侵入されていたことが分かった。過去に他のオンラインサービスから流出したメールアドレスとパスワードの組み合わせがGitHubアカウントに対して試され、パスワードを使い回していたユーザーのアカウントが被害に遭ったと推定。GitHubがハッキングされたり、同社から情報が流出したわけではないと強調している。
不正侵入されたアカウントでは、ユーザー名とパスワードのほか、アクセス可能なリポジトリの一覧や組織名といった情報が露呈した可能性があるという。
流出したパスワードを使ったとみられるアカウントの不正侵入は先にTwitterでも発覚。ユーザーが同じパスワードを複数サイトで使い回している場合、他の場所から流出したユーザー名やパスワードなどの情報を使って、アカウントを乗っ取られる恐れがあると警告していた。
これに先立ちLinkedInやTumblr、Myspaceなどから過去に流出したパスワードなどの情報が闇市場で流通していると伝えられ、安易なパスワードを使い回しているユーザーの多さが指摘されていた。
関連記事
- Twitter、パスワードが流出したユーザーのアカウントを凍結
パスワードが露呈したTwitterアカウントは凍結する措置を取り、アカウント保持者にパスワードのリセットを求めているという。 - Twitterユーザーのパスワードなど数千万件が闇サイトに流通
ユーザーのWebブラウザに保存されていたTwitterのパスワードやユーザー名がマルウェアを使って盗まれたと思われるという。 - SNSの情報流出で詐欺メール出回る、ネット各社は使い回しパスワードを強制リセット
LinkedInから流出した情報を使ったと思われる詐欺メールが出回っているという。FacebookやNetflixは同じパスワードを使い回しているユーザーに変更を促した - 暗号化推進団体のLet's Encrypt、他人のメールアドレス7618件を誤送信
Let's Encryptが会員に送ったメールの本文に、他人の電子メールアドレス0〜7618件が追加されてしまうハプニングが起きた。 - 情報漏えいで膨らむ損害、被害企業の平均コストは4億円超
事後対応のためのコストなどを含めた損害額は平均で400万ドル。発覚が遅れるほどコストがかさむ実態も判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.