「最悪のパスワード」が原因で2400万人のデータ流出、南アフリカ
パスワードの中には、絶対に使ってはいけない恐ろしいものがたくさんあるが、特に最悪なのが「password」という、そのものズバリの危険な文字列だ。しかし、このパスワードが原因となった情報漏えいは相次いでおり、先日もハッカーが1500万ドルの身代金を要求する事件が発生した。
ターゲットとなったのは南アフリカの信用情報機関のトランスユニオンで、同社は2400万人以上の顧客の信用データをサーバ上で管理していた。
N4ughtysecTUと名乗るブラジルの犯罪者グループは、セキュリテイサイトBleeping Computerの取材に、初歩的なブルートフォースアタック(総当り攻撃)で、同社のサーバーにアクセスしたと語った。
サーバー上のアカウントの1つのパスワードには、passwordの文字列が使用されており、最新のハッキングツールを使えば1秒で推測できたという。トランスユニオンによると、影響を受けたのは「限られたデータを保持する孤立したサーバー」だったというが、ハッカーは約4TBのデータを盗んだと主張し、データの身代金として1500万ドル(約19億円)相当の暗号通貨を要求した。
トランスユニオンは、身代金を払わないという声明を出したが、ハッカーたちは一部の同社の顧客に対し、「保険」を購入する機会を提供すると述べている。その保険とは、彼らが特定の顧客のデータを漏らさないことを約束するもので、中小企業の場合は10万ドル、大手企業の場合は100万ドルという価格設定になっている。
セキュリティの専門家は、この費用を支払わないよう強く勧めている。自社のデータが今回のハッキングの対象になった企業は、支払いの有無にかかわらず、データが流出すると考えるべきだと彼らは述べている。
たとえ、そのような情報がハッカーのサイトに掲載されなかったとしても、奪われたデータが地下のフォーラムで販売されるか、無料で配布される可能性は非常に高い。あるいは、すでに第三者の手に渡ったことも考えられる。
トランスユニオン南アフリカは、外部のセキュリティ専門家や法執行当局と協力していると述べた。同社はまた、追加のセキュリティ対策を実施し、影響を受けた顧客にアイデンティティを保護するツールを提供すると述べている。
https://news.yahoo.co.jp/articles/332f512d2e818e7d45059e6a2eeebebc379ee96e
