企業の人材採用などに活用されているビジネスSNS「LinkedIn」のユーザーのパスワード650万件あまりが暗号化されたままの状態で流出し、ロシアのWebサイトに掲載されているという。ノルウェーのIT情報サイトDagens ITなどが6月6日に伝えた。LinkedInも同日、流出したパスワードの一部が同サービスのアカウントのものであることを確認、ユーザーに対してパスワードを変更するよう呼び掛けている。
Dagens ITや米セキュリティ機関のSANS Internet Storm Centerによると、LinkedInのパスワードはロシアのハッカーサイトに掲載され、暗号解除への協力を募っているという。暗号には「SHA-1」のハッシュ関数が使われていて、比較的簡単に破られる恐れがあると専門家は指摘。流出した情報の中にユーザー名は含まれていないとされる。情報の流出元や流出した経緯は分かっていない。
LinkedInは6日のブログで、流出が確認されたアカウントのパスワードを無効にする措置を取り、対象となる会員に電子メールで通知してパスワードのリセットを促すと説明した。セキュリティ上の配慮から、この電子メールにはリンクは一切記載しない。騒ぎに便乗してユーザーをだまそうとする詐欺メールが出回ることも予想され、LinkedInでは「電子メールのリンクをたどった先のWebブサイトでパスワードを変更してはいけない」と呼び掛けている。
情報流出の経緯などについては現在調査中で、パスワードのデータベースの暗号強化を含め、セキュリティ対策を強化する措置を講じたという。
SANSでもLinkedInユーザーにパスワードの変更を促すと同時に、同じパスワードを複数のアカウントで使い回すのはやめるよう助言している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR