LinkedIn騒動に便乗の詐欺メールが流通、パスワード保存に問題も

[鈴木聖子，ITmedia]

　ビジネス向けSNSの米LinkedInからユーザーのパスワードが流出した問題で、騒ぎに便乗したような詐欺メールが早くも出回っているという。Linkedinに続いて他のサービスからのパスワード流出も相次いで発覚。パスワードを保存する際の暗号化の方法に関する問題も浮き彫りになった。

　セキュリティ企業のESETは6月6日のブログで、LinkedInからのメールを装って電子メールアドレスの確認を促す内容の詐欺メールが見つかったと伝えた。同社が掲載したスクリーンショットによると、問題のメールは送信元に「LinkedIn Email Confirmation」、件名に「Please confirm your email address」と記載され、本文では電子メール確認のためと称してリンクをクリックするよう求めている。

LinkedInを名乗る詐欺メール（ESETより）

　このメールの場合、リンク先は偽医薬品販売サイトになっていて、LinkedInのパスワード流出に直接便乗したものかどうかは分からないという。しかし同様の詐欺メールがさらに出回るのは必至だとして注意を呼び掛けている。

　LinkedInは6日の時点で、流出が確認されたパスワードは無効化し、該当するユーザーには電子メールで通知してパスワード再設定の手順を説明すると表明した。この通知メールにはリンクは一切記載しない。同社は詐欺メールが出回ることを見越して「電子メールのリンクをたどった先のWebブサイトでパスワードを変更してはいけない」と呼び掛けている。

　この問題では650万件あまりのパスワードが流出し、暗号化されたままの状態でロシアのWebサイトに掲載されたと伝えられていた。セキュリティ企業の英Sophosによれば、6日の時点で既にこのうちの60％が解読されているという。LinkedInのパスワードはsaltなしのハッシュで保存されていたため破られやすかったと専門家は指摘しており、情報セキュリティ上の問題も浮き彫りになった。

　Sophosによると、7日までに出会い系サイトの「eHarmony」や音楽ストリーミングサイト「Last.fm」などからも相次いでユーザーのパスワードの大量流出が伝えられている。