パスワードを忘れた? アカウント作成
10331812 story
情報漏洩

マルウェアの制御サーバにて200万件以上のパスワード発見。大手ウェブサービスなども被害 12

ストーリー by hylom
根本的な対策はないのだろうか 部門より
あるAnonymous Coward 曰く、

米セキュリティ企業Trustwaveによると、マルウェアの制御サーバから200万件以上のウェブサービスやメールアカウントなどのパスワードが見つかったとのこと。流出したパスワードはFacebookやGoogle、TwitterおよびYahooなどの大手サービスのものが含まれているという(ITmedia本家/.)。

Trustwaveはボットネット「Pony」の制御サーバにアクセスしたとのこと。Ponyはキーロガーを通じログイン情報などを盗み出しているという。今回発表された流出情報の主なものは以下の通り。

  • ウェブサイトのログイン情報 158万件
  • メールアカウントのログイン情報 32万件
  • FTPアカウントのログイン情報 4万1千件
  • リモートデスクトップのログイン情報 3千件
  • SSHのログイン情報 3千件

なお、流出情報にはFacebookのアカウント31万8千件、Gmail/Google+/Youtubeのアカウント7万件、Yahooのアカウント6万件、Twitterのアカウント2万2千件が含まれるとのこと。

データはオランダから主に盗まれているが、タイやドイツ、シンガポールなど世界各国にて被害が確認されている。

流出したパスワードは「123456」「123456789」「1234」「password」など安易なものや短いものが多かったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月10日 7時48分 (#2509148)

    流出したパスワードは「123456」「123456789」「1234」「password」など安易なものや短いものが多かったとのことだ。

    ITmedia の記事から引用すると,

    強度を分析した結果、「最高」「優良」と判定されたパスワードは22%、「中程度」が44%、「悪い」「最悪」は合わせて34%だった。

    数が多い(=重複する)パスワードが安易なものなのは当然で,むしろ全体の 2/3 が「中程度」以上の強度のパスワードを
    使っている,という点が興味深いな。もっと安易なものが多いかと思った。「中程度」って相対的にって意味じゃないよね。

    • by SAN0 (45971) on 2013年12月10日 11時54分 (#2509262)

      ITmedia から元のブログにリンクがあり、そこに定義の一部が載っています。

      http://blog.spiderlabs.com/2013/12/look-what-i-found-moar-pony.html [spiderlabs.com]

      ちなみに「最高」の定義は
      ・(大文字・小文字・数字・特殊文字の)4種類全てを使っていること
      ・8文字よりも長いこと
      ってなってます。

      残念ながら、中程度の定義は書いてなさげ。

      親コメント
    • キーロガーで盗るなら暗号強度なんて関係ないんじゃ……と思ったんですが、要するに母集団は、キーロガーを仕掛けられる穴があったとか仕掛けられても気付かないとかいう人たちで、そういう人たちは緩いパスワードを使いがち、ということかな?
      親コメント
      • by Anonymous Coward

        世の中の大多数(99.9%以上)の人は、ウィルススキャンが反応しない限り、キーロガーを仕掛けられても気が付かないと思うので、スキャンソフトが対策していない場合、そんなバイアスが働く余地はないだろう。

        つまり、実際のパスワード傾向の実情を反映しているんじゃないかな。Web上には無意味にアカウントを作成させるサイトが大量にあるから、捨てアカで水増しされて、「弱い」やつが大量にあるってだけで。「中程度」以上が2/3を占めるなら、そんなもんだと思う。

  • by Anonymous Coward on 2013年12月10日 7時48分 (#2509147)

    スラドもやばいかもわからんね

    • by Anonymous Coward

      大手じゃ無いので大丈夫です。

  • by Anonymous Coward on 2013年12月10日 9時02分 (#2509177)

    この一件のヤフーニュースの見出しが

    「Facebookなどパスワード流出」

    だったことに悪意を感じました.

    • by Anonymous Coward

      Yahoo JapanはYahooと手が切れているので

  • それ自体がクラッキングじゃないの?
    ていうか、首謀者?
    • by Anonymous Coward

      盗んだパスワードをサーバーで公開してたのかもしれんぞ

  • by Anonymous Coward on 2013年12月10日 14時29分 (#2509342)

    その後も使うかわからないお試し的に登録するサービスの場合は、自分もこういう弱いパスワード使ってますね。
    試して良かったら強固なパスワードに変更する。なので、弱いパスワードたくさんあるし、しかもID&PASSが重複してるので、1つ漏れたら全部アウトになる。でも、全然使ってないサービスばかりだから、痛くも痒くもない。

    やはりメインのアカウントでも弱いパスワード使ってる人が多いんだろうなぁ。
    にしても、キーロガーだと2段階認証も無駄になっちゃう。こういう攻撃って、パスワードを集めるだけ集めて後で利用するのか、採取した時に即あっち側でもログインとかやっちゃうのか、どうなんだろう。
    前者ならワンタイムトークン盗まれても1分で無効になるのでいいけど、後者だと侵入され、メールアドレスやパスワード変えられたら終わりだ。

    • by Anonymous Coward

      > 全然使ってないサービスばかりだから、痛くも痒くもない。

      これって正しい?

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...