先日書いた、アドビネットワークに対する攻撃で顧客情報が一部流出した事件。
お客様情報のセキュリティに関する重要なお知らせより |
10月末には影響は3800万人にものぼる事がわかったが、流出したパスワードが解析されて安易なパスワードの実態、190万人が「123456」使用という事が公表された。
相当数の死蔵アカウントが含まれるとは思うが「123456」の人が約5%もいるっていうのは「123456」を20回試せば突破できるという事なので、驚くべき実態と表現するのはもっともだが、個人的にはそれ以上に「暗号化されていた流出パスワードが現実的には第3者でも復号可能な難易度であった」方が深刻だ。
Adobeがハッシュよりも対称鍵暗号を選び、ECBモードを選択し、全てのパスワードに同じ鍵を使っていたことや、ユーザーが平文で保存していたパスワード推測のヒントがあったおかげという事なので、やはり「あと一手間」を惜しんじゃダメという事なんだなと思う。
【参照】
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
┣Adobeにサイバー攻撃 290万人のユーザー情報に不正アクセスの可能性 2013年10月4日
┣Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に 2013年10月30日
┗Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 2013年11月6日
●GIGAZINE http://gigazine.net/
┗Adobeから流出したパスワードでよく使われていたものトップ100が公開される 2013年11月7日
●Adobe http://www.adobe.com/
┣お客様情報のセキュリティに関する重要なお知らせ
┗パスワードのリセットに関する重要なお知らせ