米Yahoo&Gmailメールアカウントパスワード流出

By , 2009年10月8日

米マイクロソフト、Window Live Hotmailアカウントが流失した問題で、流失したアカウントはHotmailだけにとどまらず、GoogleのGmailや米Yahoo!メールアカウントの情報も被害にあっていることが判明したと、SANS Internet Storm Centerが2009年10月6日に伝えました。以下詳細は続きから。

このニュースはITproより引用です。

セキュリティ企業の米トレンドマイクロなどは2009年10月6日、米マイクロソフトのWebメールサービス「Hotmail」に加え、「Gmail」や「Yahoo!メール」などのパスワードも、あるWebサイトで公開されていたことを明らかにした。現在では削除済み。

 マイクロソフトは2009年10月5日、Hotmailのアカウント(ユーザーIDとパスワード)がフィッシング詐欺によって盗まれ、第三者のWebサイトに公開されていたことを明らかにした。このWebサイトは、プログラム開発者が情報交換するためのサイトであり、怪しいサイトではない。このサイトで公開されていた理由については不明。

 そして今回、トレンドマイクロなどによると、このサイトには別のパスワードリストも公開されていたことが明らかになった。公開されていたのは、前回のHotmailに加え、GmailやYahoo!メールのアカウントや、米コムキャストや米アースリンクが提供するインターネット接続サービスのアカウントだという。

 このためセキュリティ組織の米サンズ・インスティチュートなどは、Webメールなどのユーザーに対して、パスワードを変更するよう勧めている。

それにしても、フィッシング詐欺説・・・ですか、フィッシングだけで「ここまで被害が広がるかな?」と、少し疑問に思いましたので、もう少し詳しく調べてみました。

すると、気になる記事を見つけましたので、一緒に紹介しておきます。

http://headlines.yahoo.co.jp/hl?a=20091008-00000000-cwj-secu

Hotmail/Gmailアカウント流出、専門家がフィッシング攻撃説に疑問符――ボットネットの可能性を示唆
 Windows Live HotmailやGmailなどのアカウント情報が流出したのはフィッシング攻撃によるものとの説明に対し、1人のセキュリティ研究者が疑問の声を上げている。

 フィッシング攻撃説に疑問を呈しているのは、米国ScanSafeの上級セキュリティ研究員、マリー・ランデスマン(Mary Landesman)氏。同氏は、流出したアカウント情報(Hotmail、Gmail、Yahoo MailなどのWebメール・サービスから集められたおよそ3万件の情報が含まれている)について、キー・ロギングやデータ・ストリーミング機能を搭載するトロイの木馬に感染したPCのボットネットで収集された可能性が高いと指摘する。

 ランデスマン氏はその根拠として、今年8月に偶然見つけた、Windows Live IDのユーザー名とパスワードのキャッシュ・リストを挙げている。Windows Live IDは、Windows Live Hotmailや同Messengerなどのオンライン・サービスにアクセスするユーザー向けの総合ログオン・サービスだ。

 ランデスマン氏は、Windows Live IDのユーザー名とパスワードがおよそ5,000件入ったこのキャッシュを、新種のマルウェアの調査過程で見つけたという。「完全なものではなく、犯罪者が自分の能力を示すためのものとの印象を受けた」と同氏。このキャッシュはパスワードで保護されておらず、作成したのは経験が乏しいかあまり有能ではない人間である可能性が高い、というのが同氏の見方だ。

 「キャッシュの構成や、データが未加工であるように見えるという点から、これらの情報は、フィッシングではなく、キー・ロギングまたはデータの窃盗行為によって集められた可能性が高いと私は考えている」(ランデスマン氏)

 MicrosoftやGoogleは何者かが大規模なフィッシング攻撃によってアカウント情報を集めたとの見方を示しているが、ランデスマン氏は懐疑的だ。

 「流出したアカウントの件数がきわめて多いという点は、(流出の原因が)フィッシング攻撃によるものではないことを示唆している。もともとフィッシング攻撃は成果が乏しく、これほどの大成功は期待できない。われわれが考えている以上に、エンドユーザーはフィッシング攻撃に精通している」(ランデスマン氏)

 ランデスマン氏は、ボットネットの運営者がセキュリティ・エクスプロイトを用いてPCをハイジャックし、データを盗み出すためのマルウェアをインストールしたと考えるほうが合理的としたうえで、「最終的な意図ははっきりしないが、電子メールのアカウント情報を集めることもボットネットの重要な機能の1つだ」と語る。

 また、自説が学術的な根拠に基づくものではないとしつつも、「パスワードを変更したあとも、自分の電子メール・アカウントがスパミングに使われたり、自分のアカウントにアクセスできなかったりするなどの問題が起きる場合には、PCがマルウェアに感染している可能性を疑ったほうがよい」とアドバイスする。

 MicrosoftやGoogleが主張するフィッシング攻撃説については、オンラインの個人情報漏洩問題に取り組んでいる業界団体Anti- Phishing Working Group(APWG)も同じ見解を示している。APWGの会長、デーブ・ジェバンズ(Dave Jevans)氏は、「フィッシング攻撃で大量のパスワードを盗み出すことは可能」と述べている。

とりあえず、流失のしている可能性も完全に無いとはいえないので、該当サービスのパスワードを変更しました。ちょうどそろそろパスワードを変更する予定だったので、ちょうど良かったですね。

今回で、行える対策と言えば、セキュリティソフトやOSのアップデートを常に行うことや、WEBサービスのパスワード等を定期的に変更して、セキュアな環境の意識を高めるという、基本的な対策のみですね。

No related posts.

Leave a Reply


OfficeFolders theme by Themocracy