インフィニティソリューションズ株式会社ブログ

Yahooパスワード流出に学べ。7つのポイント

つい先日、Yahoo Voiceのアカウント情報45万件が流出したというニュースが流れた。SQLインジェクションというごく基本的な手法で盗まれ、しかもパスワードは暗号化されておらず、平文で保存されていることが判明した。QAサイト、Formspringでも42万件のパスワードが流出と、大型のデータ流出が続いている。Yahoo Voiceの場合、パスワードが平文で保存されているというのは、昨年Sony PlayStation Networkでも問題になったもの。教訓が活かされなかったのは残念。

InformationWeekが教訓として7点上げている。

「Yahoo Password Breach: 7 Lessons Learned(Yahooパスワード流出:7つの教訓)

1. Confirm breaches quickly.(即座に流出を確認する)

‘Where Yahoo and Formspring are to be commended is in the speed with which they confirmed their password breaches and instituted a fix, all of which happened in less than 24 hours.’

「YahooもFormspringも、賞賛に値するのはパスワード流出を確認し、対策を打つまでのスピードだ。全て24時間以内に行っている。」

2. Watch for fast-moving SQL injection attacks. (テンポが速いSQLインジェクション攻撃に注意する)

‘DD3Ds said it breached Yahoo by using a union-basedSQL injection attack. Security experts said attackers prefer this type of attack for its ability–when successfully executed–to rapidly retrieve large amounts of sensitive data.’

「DD3D(今回Yahoo Voiceをハッキングしたとの声明を発表している)によれば、unionベースのSQLインジェクション攻撃によってYahooからデータを流出させてとしている。セキュリティの専門家によれば、ハッカーはこの種の攻撃を好む。成功すれば、個人情報を大量にかつ迅速に取得できるからだ。

3. Beware third-party security. (サーとパーティのセキュリティに用心する)

‘Last year, one of the more than a dozen data breaches involving Sony involved hackers accessing what the consumer electronics giant said was “an outdated database from 2007.” Likewise, the breached Yahoo database appears to have come from a company acquired by Yahoo, which means that the database wouldn’t have been covered by Yahoo’s own system development lifecycle(SDLC) practices. But that should have led Yahoo to at least protect the acquired systems with a Web application firewall (WAF), according to security experts, to help block SQL injection attacks.’

「昨年、Sony関連でデータ流出があったものの1つは、『2007年からあった古いデータベース』にハッカーがアクセスしたものであった。同様にデータ流出が発生したYahooデータベースは、もともとYahooが買収した会社のもので、Yahoo自身のシステム開発ライフサイクルでカバーされていなかったことを意味する。しかしながら、Yahooは買収先のシステムをSQLインジェクション攻撃から守るために、少なくともウェブアプリケーション・ファイアーウォールで守る必要があった、とセキュリティの専門家は指摘する。」

4. Require strong passwords. (高い強度のパスワードを要求する)

‘The breach also shows that Yahoo–or else Contributor Network, if the passwords date from before the company’s acquisition by Yahoo–failed to require users to select strong passwords. According to an analysispublished by Swedish security expert Anders Nilsson at Eurosecure, the top five most-selected passwords were “password,” “123456,” “12345678,” “1234,” and “qwerty.”’

「データ流出により、Yahoo、パスワードがYahooが買収する前から存在しているものであれば、Contributor Networkは、ユーザに高い強度のパスワードにするよう要求しなかったことを示している。スウェーデンのセキュリティ専門家であるEurosecureのAnders Nilsson氏によれば、最もよくあるパスワードは、『password』、『123456』、『12345678』、『1234』、『qwerty』」。

— Yahooの場合、平文で保存されていたので、いくら強度が高いパスワードであっても意味が無いわけだが、単純なパスワードじゃ、どんな仕組みを施しても破られる確率が高くなる。「qwerty」って、キーボード上のキーの並びではないか。

5. Businesses, get serious about passwords. (企業側はパスワードに真剣に取り組め)

‘Any business or government agency that stores users’ passwords needs to do a better job of not just deleting password databases, but ensuring they’re actually secure. ‘

「企業も政府機関もユーザのパスワードを保管するなら、パスワードデータベースを削除しないようにするだけではなく、実際にセキュアになるようもっと頑張る必要がある。」

— Yahooは、AESで暗号化したパスワードと平文のパスワードと、両方を保存していたらしい。確かにパスワードは暗号化されているが、これじゃ暗号化の意味がない。

6. Consumers, practice tough love. (消費者は、愛の鞭と心得よ)

‘Until businesses do learn, the rule for consumers is simple: Don’t trust any site that requires a password to keep it safe. ‘

「企業側が教訓から学ぶまで、消費者側の守るべきルールは簡単だ。パスワードを安全に守るには、パスワードを要求するサイトのどれも信用しないこと。」

— 同じメールアドレス、同じパスワードを使っていれば、1箇所で抜かれると、すぐさま金を引き出せそうなサイトで試されると心得よ。さらに、

‘Finally, consider that not all password breaches come to light, and the situation might be even worse than it appears.’

「最後に、パスワード流出が全て明るみに出るわけではないと心得よ。実際の状況はもっとひどいかもしれない。」

7. Regulators, crack down.(取り締まり強化を)

‘Fines, of course, could help businesses focus on improving their information security practices. ‘

無論、罰則があれば、企業は情報セキュリティの向上により注力する。