先日、大手サイトのLinkedInとeHarmonyは、パスワードのリスト(ユーザ名ではない)が流出し、ネット上に投稿されたことを認めた。この2つのサイトに続いて、Last.fmも情報漏えいが疑われたため、積極的にパスワードの再設定を促している。しかし、こうした漏えいが作り話だったとしたら、一体どのようなメリットがあるのだろうか。
この状況について詳しく見てみよう。ただし、ハッシュ化パスワードのリストはターゲットサイトから流出したものではなく、以前に情報漏えいのあったサイトのパスワードリストであると仮定する。このようなリストは、Webで検索すれば簡単に入手できる。
ハッシュ化パスワードのリストをいったん作成してしまえば、メディアや世間の目を欺いて漏えいが本物であったと思いこませるのは容易なことだ。リストで自分のパスワードを見つけた場合、たいていの利用者はそのパスワードがターゲットサイトから実際に流出したものだと考える。彼らの多くは、以前に漏えいのあったサイトと同じパスワードを使用しているためだ。一方で、ありふれたパスワード(数千ユーザとはいかないまでも数百という単位で使用されているパスワード)を使用している場合も、一致するパスワードが簡単に見つかる。
一致するパスワードが見つからない利用者も数多く存在するが、こうしたケースをメディアが取り上げることはほとんどない。LinkedInのケースでは、1億6,100万ユーザのうち流出したのはわずか600万ユーザのパスワード。つまり、100人中4人の利用者しか該当しないことになる。
こうして侵入者は、大規模な情報漏えいがあったと世間やターゲットサイトの企業に思わせることができたわけだが、はたしてその目的は何なのだろうか。
ここで侵入者はLinkedIn、eHarmony、Last.fmが実施していないことをしようとする。つまりは「パスワードを再設定してください」というメールを全ユーザに送信することだ。彼らは当然ながらターゲットサイトの偽造サイトにユーザを誘導する。典型的なフィッシング詐欺の手法だ。このとき、ターゲットサイトは漏えいの事実を認めることで、意図せず侵入者の手助けをしてしまう。もちろん、侵入者は実際のユーザを把握しているわけではない。しかし、スパムプロバイダから入手した大量のメールリストを利用することによって、実際のユーザにパスワードの再設定を促すことが可能になる。
LinkedInが当初からソルト付きパスワードを使用していれば、状況は少々変わっていただろう。ソルトとパスワードの組み合わせがデータベース内のソルトと一致しないことに気付き、漏えいの事実を否定できたはずだ。とはいえ、これも有効な手段とは言えない。なぜなら利用者は不正行為を否定する企業は信用できないものだと経験上学んでいるからだ。「混乱を避けるため、実際に情報が流出した一部の方のみを対象に変更をお願いしています」などと書かれたメールを持ってしても、侵入者は彼らの労力に十分見合うだけの利用者をだますことができる。そして、ターゲットサイトにとっては不運なことに、利用者に「パスワードを再設定してください」などというメールは送信していないにもかかわらず、侵入者の目論みは成功してしまう。
フィッシングサイトから実際のユーザ名とパスワードを入手してしまえば、侵入者はメールアドレスなどの情報をそのユーザの実際のアカウントから収集することができる。さらに侵入者は、詐欺に遭っていたことをそのユーザに気付かれないように、実際にターゲットサイトのパスワードを変更することさえできるのだ。
今のところ、この手の攻撃を大規模サイトで阻止するテクノロジはない。ごく小規模なサイトでは、SecurIDなどの二要素認証を用いたパスワードの入力が可能だが、数百万の利用者を抱えるサイトでは維持が難しい。唯一現実的な対策は個人レベルに委ねられており、利用者は、複数サイトでの同一パスワードの使用を避ける、パスワードを再入力する際にはURLを確認する、などの注意が必要だ。LastPassや1Passwordといったツールは、このような対策を行う上で有効だが、使用した場合、一度にすべてのパスワードが危険にさらされるリスクが伴う。