パスワードを忘れた? アカウント作成
6430141 story
情報漏洩

IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 50

ストーリー by headless
公開 部門より
やや旧聞となるが、IEEEのWebサーバーのログが暗号化されない状態で公開されていたため、会員約10万人分のIDとパスワードが漏えいしたそうだ(IEEE logの記事IEEEのニュースリリースComputerworldの記事本家/.)。

発見者のRadu Dragusin氏によれば、ログはIEEEおよびIEEE SpectrumのWebサイトのもので、パスワードも暗号化されていなかったとのこと。Dragushin氏が発見したのは9月18日だが、少なくとも1か月前からこの状態だったと考えられるという。パスワードが漏えいしたユーザーの中には、Apple、Google、IBM、Oracle、Samsungの社員や、NASA、スタンフォード大の研究者なども含まれているそうだ。IEEEは25日までに対策を行い、ユーザーにパスワード変更を呼び掛けている。

Dragushin氏は入手したデータ自体を公開するつもりはないとしているが、データの解析結果をIEEE logで発表している。これによると、最も多く使われていたパスワードは「123456」で271件。2番目が270件の「ieee2012」で、以降「12345678」「123456789」「password」が続く。「123」も60件あり、上位18種類のパスワードだけで計1,729件となっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 犯罪幇助? (スコア:2, 興味深い)

    by Anonymous Coward on 2012年09月30日 12時20分 (#2241511)

    こういう解析結果を公開するのは倫理的にセーフといえるのだろうか?
    多くの人間が用いやすいパスワードを知る事は不正アクセスの手助けに繋がらないかと。
    パスワードを複雑にしろ定期的に変更しろなんて昔から言われてるけど利便性を追求してみんな単純で覚えやすいものにしてるのだろうし

    • Re:犯罪幇助? (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2012年09月30日 13時10分 (#2241526)

      同意する部分もあるけど、やっぱりこういう情報は公知に振っていく方がいいんじゃないかな。
      安全性が生年月日にすら満たないようなパスワードは、パスワードとしての機能を果たさない事を常識として、
      作り手やユーザーの意識を作っていく方が正しい気がする。

      親コメント
    • by Anonymous Coward

      関連ストーリー見れば分かる通りとっくに公知の事実なので。犯罪者にとって新しい情報はなにもないよ。

      • by Anonymous Coward

        まぁ記事を読んでいても「ああやっぱりそうか」ぐらいの感想ですからねぇ

  • パスワード、シンプルですね。
    --
    コンタクト
  • by Anonymous Coward on 2012年09月29日 19時06分 (#2241294)

    あのPマークでさえパスワードの字数に制限を付けるよう指導しているというのに

  • 登録者がどこに所属してようと、どこに登録するパスワードでも、パスワード戦略はだいたい同じってことかね。

    /*
    昨年「お前SPAM送ってるんじゃないのか?」てな手紙をISPから受け取って以来、
    登録してるWeb上のサービスについて大体3ヶ月毎にパスワード変えてるけど、
    パスワードを何らかのルールをもとに作ってたらあっさり割られてしまうもんなのかしら。
    */

    • by Anonymous Coward

      登録しているWebサービスとSPAMとの関係がいまいち…
      ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
      それが悪用されている疑いがあるとか
      SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?

      Webサービス(例えばGmail)のアカウントが乗っ取られていて悪用されていても
      それはISPの感知するところでは無い気がするのです。

      • by Anonymous Coward

        ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
        それが悪用されている疑いがあるとか
        SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?

        説明不足ですいません、後者ですね。

        記憶してる限りの流れは以下のとおり。

        ISPのメール送受信できなくなる
        →ISPから封書で「お前のメアドでSPAM送られてるて聞いてメール止めたで、再開してほしけりゃウィルススキャンとパスワード変更して連絡せぇ」と通達
        →そーいやだいぶパスワード変えてなかったな、と反省して対応・連絡、「次はないで」

    • by Anonymous Coward

      未クラック前のパスワードを変更することにはあまり意味ないっすよ
      強固なパスワード→それより弱いパスワード に変更してしまった場合、変更しないほうがマシなわけで

      • by Anonymous Coward

        実践的にはほぼそうなんだけど、クラックされていない、という保証は、そのパスワードを使わないことでしか為し得ないわけで、漏洩した可能性が時間(というか利用回数)とともに増えると思えば、あまり意味ない、というほどのものでもないとは思う。
        # とくにユーザが信用できない場合

        でもまぁ、そこまでするならSecureIDとか使わせてくれよ、とは思うが。

    • by Anonymous Coward

      会社で仕事でIEEE担当者が登録するとすると、「このIDこのPWで
      登録してます」って社内で共有してたりするせいもあるんじゃないでしょうか。
      個人で趣味で会員登録している人はそんなに多くないと思うので。

    • by Anonymous Coward

      まぁいちばんの問題は、システム側がパスワード暗号化してなかったんですかー、と言う所なんですけどね。

      こういう事があるので、決済が絡まないようなslashdotやnikkeibpみたいなサイトだったら、「ieee2012」みたいなオモチャパスワードで十分ですよ。
      slashdotみたいなサイトだったら、パスワードはslashhogeぐらいで十分です。

      ここで変に凝ったパスワード作ったはいいけど、「それを決済サイトと使い回す」みたいな真似すると被害がデカくなります。
      世間では流出メアド&パスワード拾ったら、とりあえずそれでAmazonかYahoo!かRakutenにログインできないか試してみる…みたいな連中もいる訳で。。

      • by Anonymous Coward

        まずメアドに乱数を入れます。

  • by Anonymous Coward on 2012年09月29日 20時23分 (#2241336)

    以前入会してたんですが転職してからは業務内容とも直接関係無くなってきたのでやめてました。
    それでもやれ「また金を貢げよ」とか、やれ「新しい記事あるからおいでおいで」とかうざったいぐらい
    メール攻撃があるのでIEEE関係のメールは全てSPAM扱いで無条件削除にしてたのでした。

    ・・・タレコみがなかったらそのまま放置となるところであったorz
    早速ログインしてパスワードの変更だけはしておきました。
    しつこく金払えよっていうのは全て無視してw

    • 会員ですが、そもそもパスワード変更依頼のメールなんてきてませんよ。(見落としてる?)
      送られてくるのは、いつものように「来年の会費も今払え」「新しいSpectrumが」「どこそこで学会が」とか、そればっかり。

      IEEEにとって、Webサイトのアカウントなんて、その程度のものなんでしょうね。
      親コメント
    • by Anonymous Coward

      退会したのにログインできるものなの?

      退会手続きをせずに会費を滞納していたら,金払えよメールが来るのは分かるのですが。

      • by Anonymous Coward

        ログインは出来ますよ。
        非会員でもアカウント作ってStandard買うこと出来ますし。(当然高いけど)

  • by Anonymous Coward on 2012年09月29日 20時42分 (#2241349)

    FTPだったそうで。

    # それなんてMD*S?

    • Re:漏洩経路が (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2012年09月29日 22時03分 (#2241383)

      そうか、犯人は anonymous ユーザーだ!

      親コメント
      • by Anonymous Coward

        じゃあpasswordのところにメールアドレスを入れてるから犯人を捜すのは簡単だね!

      • by Anonymous Coward

        私が普段使用しているFTPのアカウントがハックされたのでしょうか...

        パスワードをメールアドレスにしておけば安心だと思いましたが,今後は気をつけます。

      • by Anonymous Coward

        おもろい

  • by Anonymous Coward on 2012年09月30日 9時59分 (#2241480)
    「職人は数字を0から数えるものだ。俺のパスワードは「012345」だぜ。」
    「ぬかったな士郎。本当の職人は数字を2進法で数えるものだ。正しくは「011011」だ!」
    「ぐぬぬ。しかし、しかし何かがまだあるはずだ。」
    「義父様、お間違えです。本物の職人は16進法で数えるのです。ですから士郎さんは間違っていません。」
     以下略。
    #0から数えることの是非はどうなった?
    • by Anonymous Coward

      まず、0 と 1 が隣接して並ぶキーボードを普及させないと。

      • by Anonymous Coward

        たいていのテンキーは0と1が上下に隣接して並んでると思います。

        • by Anonymous Coward

          テンキー。そういうものもあるのか・・・。

          • by Anonymous Coward

            有テンキー派と無テンキー派の間には深い溝がある

      • by Anonymous Coward

        なーに、四捨五入すればいいんじゃないか。
        1-4 → 0、5-9→1 ってことで、

        # あれ、0は?

  • by Anonymous Coward on 2012年09月30日 16時15分 (#2241572)

    本イキのパスワードと区別して使うに決まってるじゃん
    漏れてもいいとこにはどうでもいい、それこそ「123456」とか「IEEE」とか使うよね。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...