150 million MyFitnessPal accounts compromised – here’s what to do(Sophos Naked Securityより)
何千万、何億というユーザーを持つ大規模Webサイトやアプリを提供する企業でさえも、情報を漏えいしてしまうインシデントは後を絶たない。シンプルなソーシャル的な技法やマルウェアと連携した複雑な方法を駆使して侵入し、情報を奪っていくケースが表面化する。2月に起こったフィットネストラッカー「MyFitnessPal」へのハッキングについて英セキュリティベンダーSophosのオウンドメディア「Naked Security」がその教訓を伝えている。
1億5000万人のユーザーを抱える人気アプリだが、もしその1人だったり、Webサイトも利用していたという場合も、慌てずにパスワードは変更しようと呼びかけるのは、Naked SecurityのWebサイト運営にも携わるMark Stockley氏。
運営社のUnder Armourでは、MyFitnessPalユーザーに今回の不正アクセスについて通知を送っているが、犯罪者がこれに便乗し、Under Armourからの通知に見せかけて悪意あるメッセージを送る可能性もあるので注意したい。もしFacebookを使ってログインしているのなら、この件が原因でFacebookのパスワードを変更する必要はない。他のWebサイトでもMyFitnessPalのパスワードを使っているということであれば、Webサイトでパスワードを変更しよう。パスワードは見破られないようなものを選ぼう。パスワード管理ソフトウェアを使うのもおススメだとユーザーへの対応を促した上で、未だ同社が調査中であることを考慮したても、今回のケースでのUnder Armourの対応に見るべきところがあることを述べている。
Under Armourは事件発生からかなり短期間で通知した。通知はわかりやすく、影響を受けるデータも限定的だった。そしてパスワードのほとんどが、適切に保護されていたことを同氏は強調している。パスワードはbcryptでハッシュ化されており、相当な時間と労力を要する。クラッキングは時間も労力もかかるが、bcryptはこれをさらに面倒なものになるという。bcryptがどのぐらい防御してくれるのかは、どのように設定されているかにより異なり、Under Armourはこの部分の情報を提供していないが、時間を稼ぐことには寄与しているという。その間にパスワードを変えることが大切だと説いている。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
