reoによる
2009年10月09日 12時30分の掲載
フィッシングされたと気付けないのが一番恐ろしい部門より。
フィッシングされたと気付けないのが一番恐ろしい部門より。
あるAnonymous Coward 曰く、
Computerworld.jpの記事によれば、Hotmail のパスワードを含むアカウント情報が大量に公開されている事が確認されたそうだ。Microsoft の公式発表では「数千件」とされているが、Neowin.netによれば、Hotmail だけではなく @msn.com, @live.com なども含む 2 万件、もしくはそれ以上の規模になるとレポートされている。
原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。この規模はフィッシング被害としては最大規模の物になる。Microsoft ではこの件に関する QandA を公開するとともに、流出したアカウントを一時ブロックし、本来のユーザがアカウントを復旧する手段を提供すると発表している。
また、Trend Micro 社の Malware Blog の記事の続報によれば、上記の公開が行われたのと同じサイトでさらに Hotmail だけでなく Gmail、Yahoo!、Comcast、Earthlink のアカウントも公開されたという。SANS の Internet Storm Center Diary の記事によれば、これら人気のある Web メールのパスワードをすべて変更せよとのこと。
関連ストーリー
パスワード管理の秘策は? 84 コメント
iTunes Storeで不正請求相次ぐ 17 コメント
Firehose:Hotmail で大規模なアカウントリークが発生 by Anonymous Coward
参考記事;パスワードの分析 (スコア:4, 興味深い)
盗まれたパスワードのリストが先週末にクリップボード・サイトの『PasteBin』に掲載された。
流出した1万件のうち、2000件近くのパスワードは、長さが6文字しかなかった。
最もよく使われているパスワードは「123456」だった
パスワードの42%では小文字の「a〜z」のみを使用
とのこと。
コメントを書く
Re:参考記事;パスワードの分析 (スコア:2, 参考になる)
ちょっと前にfc2からパスワード変えろってメール [fc2.com]が来て、
変えようとしたらこれがまた何文字以上の英数字に加えて記号まで必ず使えという
ものすごい奴(私からすれば)で、まあそういう時代かということで
普段使っている他のサイトアカウントもまとめて変更したんですが、
記号がNGなところも多く文字数が8文字までのところもあるし
もーどうにも。パスワードの最低制限はある程度統一してくれないかナーと思った次第です。
# もちろん統一しない方がセキュアなことはわかってますが。
# gmailもまとめて変更したのにまたしろだって・・・!
コメントを書く
親コメント
Re:SUZUKI,Ichiro (スコア:2)
辞書単語に対するリスク評価はチェッカーによってばらつきがあります。
たとえば英単語の辞書しかもってないチェッカーは日本語のローマ字をランダム文字列とみなします。
リンク先のMSのサービスは辞書による評価を行ってないようですので
そこのリスクは利用者側で積んであげる必要があります。
ちなみにSUZUKI,Ichiroなんてパスワードはローマ字辞書を持ってるクラッカーに即破られます。
絶対に使ってはいけません。
コメントを書く
親コメント
サービス側の問題じゃないなら (スコア:3, すばらしい洞察)
> 原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。
だったら
× Hotmail、Yahoo!、Gmail で大規模なアカウントリークが発生
○ Hotmail、Yahoo!、Gmail のアカウントが大規模にリーク
だろ。Hotmail、Yahoo!、Gmail に共通の脆弱性でも発見されたのかと思いかねない見出しはどうかと思うぞ。
コメントを書く
フィッシングじゃないじゃね?という意見も (スコア:3, 興味深い)
ありますよ。スパイウェアの可能性もあるようで。
Hotmail/Gmailアカウント流出、専門家がフィッシング攻撃説に疑問符
http://www.computerworld.jp/topics/vs/164189.html [computerworld.jp]
コメントを書く
知ってはおったのですが、 (スコア:3, 参考になる)
やっとこ時間がとれたので、パスワード変更しました。
また、この際、各パスワードがバラバラでランダムになるようにしました。
# アカウント管理をKeePassに移管できていたので、楽だった。
うーん、こういうこと見ると、ほんとうはOpenID(で、なにかトークンつかうようなの)+各サービスアカウントがいいんだけどねぇ
なかなか上手くはいかんね
# 複数のアカウント管理してると、パスワードは同じになりがちだし、変更も大変だ
安全と便利の両方があがるような技術革新がほしいところですね...
BOINC説明ページ(書きかけ) [wikispaces.com]
コメントを書く
YahooもGMailも (スコア:2, 参考になる)
コメントを書く
これだけ大規模だと (スコア:2, 興味深い)
コメントを書く
これを機に (スコア:1, すばらしい洞察)
などという意味不明な制限を設けるのはやめましょう、どこぞのカード会社さん。
コメントを書く
Re:これを機に (スコア:3, すばらしい洞察)
あと定期的な変更の強制もな。>どこぞの銀行さん
これをやると、回数を重ねていくうちに規則的な文字列になっていく人が多くなることに気付けよ。
言葉に貴賎なし、辞書に聖杯なし
コメントを書く
親コメント
Re:困るの? (スコア:2, 興味深い)
(Gmailはメール送信時にFromアドレスを登録した別アカウントに変更できる)
もしかしたら「ナイジェリアからの手紙」のようなスパムに使われているかもしれない。
という話を最近聞きました。
所詮フリーメールなんで、乗っ取られて困るようなクリティカルな用途に使う人は少ないでしょうが、
アカウントを悪用される可能性もあるということで。
#上記の件がほんとにスパムに悪用されたかどうかは分からないのですけどね
コメントを書く
親コメント
Re:困るの? (スコア:1)
> アカウントのっとられて困るような用途
って言われても共通なんだからどうしようもない
eOpen - サイン イン [microsoft.com](ボリュームライセンスの管理とかです)
> このサイトを初めてご利用になるお客様は、Windows Live(TM) ID を
> 使用してサインイン名およびパスワードを登録する必要があります。
サインインを押した先 [live.com]
> 1 つの Windows Live ID で新規登録すると、Windows Live、MSN、
> または Microsoft Passport のどのサイトにもサインインできます。
始祖あんりあ(Ichigo Mayo)
コメントを書く
親コメント
Re:困るの? (スコア:1)
>アカウントのっとられて困るような用途に使う神経が理解できん。
これが結構あるんですよ
某中小企業でgmailを基幹メールと使うとかね。
もう、あほかと...小一時間なわけです。
コメントを書く
親コメント
Re:困るの? (スコア:2)
msnはまだしも、gmailは被害甚大でしょう。
だって、AdWordsやAdSenseなどお金に直結する機能も同じID/PWで管理してるんだから。
他にも、会社をまたがるプロジェクトの管理にGoogle使ってる中小企業も少なくないから、マル秘情報まで漏えいするかも。
msnをメールのためだけに使ってる人は多いと思いますが、Googleをgmailだけのためにで使ってる人って少ないと思いますよ
コメントを書く
親コメント