Adobeの情報漏洩で1億5000万件以上のユーザー名とパスワードが流出
ブレア・ハンリー・フランク著
Adobe のパスワードセキュリティ侵害の規模が徐々に明らかになりつつあるようですが、その規模は膨大です。本当に膨大です。
SophosのNaked SecurityブログのPaul Ducklin氏による報告によると、今回の侵害には1億5000万件以上のユーザー名と暗号化されたパスワード、そしてパスワードヒントが設定されているアカウントの平文パスワードヒントが含まれているとのことです。Adobeは、これらの記録のうちアクティブユーザーのものはわずか3800万件であると主張し続けています。
Adobeのコーポレートコミュニケーション担当シニアマネージャー、ウィーブケ・リップス氏は電子メールで、ハッカーは「多数の無効なAdobe ID、非アクティブなAdobe ID、無効な暗号化パスワードが設定されたAdobe ID、そしてテストアカウントデータ」も入手した可能性が高いと述べており、データベースに大量のAdobe IDとパスワードが保存されていた理由を説明できる可能性がある。同社は、これらのアカウントのうち、今回の侵害に関与したアカウントの数について現在も調査中である。
リップス氏はまた、アドビは、アクティブかどうかに関わらず、有効なパスワードを持つ影響を受けたアカウントのパスワードをすべてリセットしたと述べた。
しかし、被害はそれだけにとどまりません。Sophosによると、Adobeのパスワードファイルの設定方法にはいくつかの重大な問題がありました。同社は、データベースの暗号化キーを入手した攻撃者がデータベース全体を復号化し、すべてのパスワードを一度に公開できる暗号化方式を使用していました。
さらに、データベースは、同じパスワードを入力すると同じ暗号化テキストが生成されるように暗号化されていました。例えば、「qwerty」というパスワードは、Adobeのデータベースでは「e5d8efed9088db0b」に変換されます。さらに、データベースの設定により、暗号文を解析することで、特定のパスワードに含まれる文字数を特定することも可能です。
さらに、データベース内のすべてのパスワードのヒントはプレーンテキストで保存されているため、ファイル全体が、著者のランドール・マンローが「世界史上最大のクロスワードパズル」と呼んでいるものに相当することになります。
リップス氏は、データベースは確かにトリプルDESで暗号化されており、攻撃者がデータベースの暗号化キーを入手できれば、何百万ものパスワードを一度に平文に復号化することが可能になるというソフォスの主張を認めた。
朗報としては、たとえ些細なことであっても、攻撃当時、Adobeは既に主要なパスワードデータベースを保護するために別の方法を採用していたことが挙げられます。リップス氏によると、同社は1年以上前からパスワードにソルトを付与し、SHA-256を用いてハッシュ化していました。このアルゴリズムはパスワード入力の隠蔽に非常に効果的です。リップス氏はメールで、攻撃に関与したAdobeのパスワードシステムは「廃止予定」のバックアップシステムだったと述べています。
また、Adobe社によると攻撃で盗まれたとされる290万件の暗号化されたクレジットカードとデビットカードの番号が、このデータベースには含まれていないことも注目すべき点です。これらの番号は別のデータベースに保存されており、リップス氏によると、「暗号化を実行し、暗号鍵を管理するサードパーティ製のアプライアンス」で暗号化されていました。
Adobeは、攻撃の影響を受けたすべての人に連絡を取ったと述べていますが、LastPassは、Adobe IDに関連付けられたメールアドレスがデータベースに登録されているアカウントに含まれているかどうかを確認するツールを開発しました。同社は、今回の事件に関係するAdobe IDにおいて不正なアクティビティの兆候を確認していませんが、Adobe IDと同じパスワードを使用しているアカウントのパスワードは必ず変更してください。
