パスワードを忘れた? アカウント作成
151246 story
Google

Hotmail、Yahoo!、Gmail で大規模なアカウントリークが発生 38

ストーリー by reo
フィッシングされたと気付けないのが一番恐ろしい 部門より

あるAnonymous Coward 曰く、

Computerworld.jpの記事によれば、Hotmail のパスワードを含むアカウント情報が大量に公開されている事が確認されたそうだ。Microsoft の公式発表では「数千件」とされているが、Neowin.netによれば、Hotmail だけではなく @msn.com, @live.com なども含む 2 万件、もしくはそれ以上の規模になるとレポートされている。

原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。この規模はフィッシング被害としては最大規模の物になる。Microsoft ではこの件に関する QandA を公開するとともに、流出したアカウントを一時ブロックし、本来のユーザがアカウントを復旧する手段を提供すると発表している。

また、Trend Micro 社の Malware Blog の記事の続報によれば、上記の公開が行われたのと同じサイトでさらに Hotmail だけでなく Gmail、Yahoo!、Comcast、Earthlink のアカウントも公開されたという。SANS の Internet Storm Center Diary の記事によれば、これら人気のある Web メールのパスワードをすべて変更せよとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Wired Japanの記事 [wiredvision.jp]によると、
    盗まれたパスワードのリストが先週末にクリップボード・サイトの『PasteBin』に掲載された。
    流出した1万件のうち、2000件近くのパスワードは、長さが6文字しかなかった。
    最もよく使われているパスワードは「123456」だった
    パスワードの42%では小文字の「a〜z」のみを使用
    とのこと。
    • by waraji (36531) on 2009年10月09日 14時24分 (#1651660)

      ちょっと前にfc2からパスワード変えろってメール [fc2.com]が来て、
      変えようとしたらこれがまた何文字以上の英数字に加えて記号まで必ず使えという
      ものすごい奴(私からすれば)で、まあそういう時代かということで
      普段使っている他のサイトアカウントもまとめて変更したんですが、
      記号がNGなところも多く文字数が8文字までのところもあるし
      もーどうにも。パスワードの最低制限はある程度統一してくれないかナーと思った次第です。

      # もちろん統一しない方がセキュアなことはわかってますが。
      # gmailもまとめて変更したのにまたしろだって・・・!

      親コメント
      • by kawa-t (37052) on 2009年10月09日 17時08分 (#1651771) 日記

        変えようとしたらこれがまた何文字以上の英数字に加えて記号まで必ず使えという
        ものすごい奴(私からすれば)で、まあそういう時代かということで

        その程度であれば、簡単ですよ。

        パスワード チェッカー [microsoft.com]で判定すると、"SUZUKI,Ichiro"は「強」という結果になりました。因みに、","ではなくスペースで区切ると「中」になりました。"Jackson,Michael"は「最強」。

        私は日本語入力に月配列を使いますが、それで自分の名前を打つと、意味のないアルファベットの文字列ができるものの、判定は「弱」でした。"Bill Gates"でさえ「中」なのに。

        感覚的には納得いかないのですが、機械的にはそうでもないってことなんですかね。

        親コメント
        • by barrel (25979) on 2009年10月10日 0時18分 (#1652000)

          辞書単語に対するリスク評価はチェッカーによってばらつきがあります。
          たとえば英単語の辞書しかもってないチェッカーは日本語のローマ字をランダム文字列とみなします。

          リンク先のMSのサービスは辞書による評価を行ってないようですので
          そこのリスクは利用者側で積んであげる必要があります。

          ちなみにSUZUKI,Ichiroなんてパスワードはローマ字辞書を持ってるクラッカーに即破られます。
          絶対に使ってはいけません。

          親コメント
          • Re:SUZUKI,Ichiro (スコア:1, おもしろおかしい)

            by Anonymous Coward on 2009年10月10日 11時00分 (#1652099)

            >ちなみにSUZUKI,Ichiroなんてパスワードはローマ字辞書を持ってるクラッカーに即破られます。
            R.Tanaka.Ichiroだったら大丈夫だね!

            #キャラクター辞書とかアイドル、スポーツ選手等の辞書もあるそうな。

            親コメント
    • たかがフリーアドレスのどうでもいいアカウントだからではないですかね?

      そのパスでクレジットで買い物が出来たり、
      自分の口座から送金出来たりするような場合でもそうだとしたら、残念極まりないですが。

      # 俺の銀行のログインパスは簡単です。
      # 送金のパスは別なので他人にログインされても別にかまわないので。

      親コメント
    • by Anonymous Coward

      話が反対で、そういうパスワードだからアカウントを盗めたんじゃないの?

      • by Anonymous Coward
        フィッシングって……なんだか知ってるかな?
  • by Anonymous Coward on 2009年10月09日 12時45分 (#1651574)

    > 原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。
    だったら
    × Hotmail、Yahoo!、Gmail で大規模なアカウントリークが発生
    ○ Hotmail、Yahoo!、Gmail のアカウントが大規模にリーク
    だろ。Hotmail、Yahoo!、Gmail に共通の脆弱性でも発見されたのかと思いかねない見出しはどうかと思うぞ。

    • by Anonymous Coward

      Twitterの/.Jボットの見出しで知って、サービス側から漏れたのか!?と思い
      「な、なんだってー!?(AAry」状態で記事を読んだら違ったという罠

      #タイトルってホント重要ね
      #でも逆に「サービス側から漏れた」と読み取れなかったらすぐには見なかったかもしれない

  • ありますよ。スパイウェアの可能性もあるようで。

    Hotmail/Gmailアカウント流出、専門家がフィッシング攻撃説に疑問符
    http://www.computerworld.jp/topics/vs/164189.html [computerworld.jp]

    • by Anonymous Coward
      フィッシングやスパイウェアではなくサプライチェーン攻撃な予感 根拠は無し
  • やっとこ時間がとれたので、パスワード変更しました。

    また、この際、各パスワードがバラバラでランダムになるようにしました。
    # アカウント管理をKeePassに移管できていたので、楽だった。

    うーん、こういうこと見ると、ほんとうはOpenID(で、なにかトークンつかうようなの)+各サービスアカウントがいいんだけどねぇ
    なかなか上手くはいかんね
    # 複数のアカウント管理してると、パスワードは同じになりがちだし、変更も大変だ

    安全と便利の両方があがるような技術革新がほしいところですね...

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Cowboy (6205) on 2009年10月09日 12時38分 (#1651565)
    この報道自体が新たなフィッシングのための罠なのではないかと警戒してしまうな
    • Re:これだけ大規模だと (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年10月10日 14時31分 (#1652201)

      パスワードを変更するためにアクセスした先が、ニセサイトというオチ...嫌すぎます。

      でもすでにこのニュースを本文にしたフィッシングメールが流れていてもおかしくないのと、対象になったサービス向けは、さらにサービスからのお知らせを装ったものが流れるのは必至ですね。
      # スパマーの仕事の早さは異常

      親コメント
  • これを機に (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2009年10月09日 20時56分 (#1651896)
    「アカウント 6-9 文字、パスワード 6-8 文字」
    などという意味不明な制限を設けるのはやめましょう、どこぞのカード会社さん。
    • Re:これを機に (スコア:3, すばらしい洞察)

      by SD (32008) on 2009年10月10日 1時13分 (#1652020) 日記

      あと定期的な変更の強制もな。>どこぞの銀行さん
      これをやると、回数を重ねていくうちに規則的な文字列になっていく人が多くなることに気付けよ。

      親コメント
      • by Anonymous Coward
        簡単なパスワードを設定

        そろそろパスワード変更しろ命令

        適当なパスワードに変更

        即座に元の簡単なパスワードを再設定

        ということをしてるバカな僕。
        何度も何度も変更してたら忘れちゃうんだもん。
        毎回リマインダの世話になってた頃もあったなぁ。
        • by Anonymous Coward
          私はこうしていますよ。

          長くてランダムで他人には推測不能だけど自分は指が覚えたパスワードを設定

          そろそろパスワード変更しろ命令

          同じく覚えているもうひとつのパスワードを設定

          即座に元のパスワードに変更
      • by Anonymous Coward
        自分は1文字増やす方式を使うことがあります。元パスワードが「HogeHoge」なら新パスワードは「HogeHogeA」、次に変更するときは「HogeHogeAA」という具合。
      • by Anonymous Coward
        パスワードを変更することによってどれだけ安全になるんですかね?
        変更することによって得られる安全度は
        辞書攻撃などで既にそれまでにテストした文字列である場合安全だろうけど
        そうでないなら同じですよね?

        ブルートフォースくらってるなら通知してあげるってのが一番いいと思う。
  • by Anonymous Coward on 2009年10月09日 12時39分 (#1651567)
    "流出"の意味するところがよくわからんが、msnだのgmailだのを
    アカウントのっとられて困るような用途に使う神経が理解できん。
    • Re:困るの? (スコア:2, 興味深い)

      by TomBu (11289) on 2009年10月09日 12時53分 (#1651585) 日記
      懸賞応募用のGmailアカウントを放置していたら、いつの間にか差出人名に「CENTRAL BANK OF NIGERIA」という名前が追加されていた
      (Gmailはメール送信時にFromアドレスを登録した別アカウントに変更できる)
      もしかしたら「ナイジェリアからの手紙」のようなスパムに使われているかもしれない。
      という話を最近聞きました。

      所詮フリーメールなんで、乗っ取られて困るようなクリティカルな用途に使う人は少ないでしょうが、
      アカウントを悪用される可能性もあるということで。

      #上記の件がほんとにスパムに悪用されたかどうかは分からないのですけどね
      親コメント
      • by Anonymous Coward

        >所詮フリーメールなんで、

        所詮メールなんて、じゃないの?
        自分の管理するメールサーバに圧倒的な自信があるならともかく

        • >所詮メールなんて、じゃないの?

          自分ではそう思っていても、会社で無条件に与えられて名刺に刷り込まれているメールアドレスに
          クリティカルな情報がたくさん送りつけられてきます。

          業界にも依ると思いますが、世間一般の認識はその程度です。たぶん。

          なのでこれはパスが割れるor通信を盗聴されるとだいぶ困ります。

          親コメント
    • by kacha (13067) on 2009年10月12日 2時22分 (#1652570) 日記

      msnはまだしも、gmailは被害甚大でしょう。
      だって、AdWordsやAdSenseなどお金に直結する機能も同じID/PWで管理してるんだから。
      他にも、会社をまたがるプロジェクトの管理にGoogle使ってる中小企業も少なくないから、マル秘情報まで漏えいするかも。

      msnをメールのためだけに使ってる人は多いと思いますが、Googleをgmailだけのためにで使ってる人って少ないと思いますよ

      親コメント
    • by s-tomo (2841) on 2009年10月09日 15時35分 (#1651694) ホームページ 日記

      > アカウントのっとられて困るような用途
      って言われても共通なんだからどうしようもない

      eOpen - サイン イン [microsoft.com](ボリュームライセンスの管理とかです)
      > このサイトを初めてご利用になるお客様は、Windows Live(TM) ID を
      > 使用してサインイン名およびパスワードを登録する必要があります。

      サインインを押した先 [live.com]
      > 1 つの Windows Live ID で新規登録すると、Windows Live、MSN
      > または Microsoft Passport のどのサイトにもサインインできます。

      親コメント
    • by bitterbeer_sweetwine (37563) on 2009年10月10日 0時48分 (#1652014)

      >アカウントのっとられて困るような用途に使う神経が理解できん。

      これが結構あるんですよ
      某中小企業でgmailを基幹メールと使うとかね。
      もう、あほかと...小一時間なわけです。

      親コメント
    • by Anonymous Coward
      そういうのは被害を最小限にするために有効な手段であるが、被害をゼロにするわけじゃないぞ。
      たとえ捨てアドだって漏れたらめんどくさい。
      • by Anonymous Coward
        ふつう捨てアドってのはどうなってもめんどくさくないような使い方をするもんだと思うが。
  • by Anonymous Coward on 2009年10月09日 12時46分 (#1651575)

    フィッシングってことはユーザが自分でアカウントとパスワードを入力したってことだよね?
    なんか、流出というとサービス側に何か問題があったかのような印象を受ける。

  • by Anonymous Coward on 2009年10月09日 23時46分 (#1651982)
    >Microsoft ではこの件に関する QandA を公開するとともに
    リンク先が英語...MSの日本語でのアナウンスはないものか....orz
  • by Anonymous Coward on 2009年10月11日 7時04分 (#1652401)
    今度、Y!にアカウントリークって機能ができたんだってさ?
    それ、なに?食えるの?旨いの?
  • by Anonymous Coward on 2009年10月13日 8時26分 (#1652818)
    もう、暗証番号やパスワードを憶えるのはやめました。
    自前で乱数表を作って、数桁のキーだけを憶えるようにしました。
    乱数表だけ盗まれても解読はできませんしね。
    キーも忘れてたらID再発行します。
    手続きのための数日の遅れは許容するようになりました。
    生活に特に支障はありません。
    唯一恐れているのは、口座を開設していたことを忘れてしまうことです。

    #そんなお年頃ですもの
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...