2012/07/13

米Yahoo! の情報漏えいは初歩的なセキュリティ対策ができていなかったためらしい


米Yahoo! のログイン情報が 40万件も漏洩しましたが、その内容がひどいです。

情報が漏洩した直接の原因は SQL インジェクションによる情報漏えいですが、 SQL インジェクションの対策は基本中の基本なのにそれができていなかったことに驚きです。

それよりも驚いたのは以下の部分です。

米McAfeeは、「基本的なセキュリティの必要性を再認識」とコメントを発表している。ユーザーネームとパスワードが平文で掲載されていた。

今回の情報漏洩は、Yahooのサーバ(dbb1.ac.bf1.yahoo.com)に対する基本的なSQLインジェクション攻撃によるものだ。今回の事件は、最近のものと同様にアカウントデータが暗号化されていない状態で保存されていることが問題視されている。

米ヤフー情報流出:基本的なセキュリティ対策を怠っていたのではないか - CNET Japan

今時、パスワードを平文で保存しているなんてとても考えられません。

パスワードを復元不可能な形式で保存するのは、ユーザーは複数のサイトでパスワードの使い回しをしている可能性があるため、当該サイトの情報漏えいの被害だけでなく、他のサービスのアカウントまで危険にさらしてしまうからです。

LinkedIn といい米Yahoo! といい、メジャーなサービスがこのようなセキュリティレベルで運用されていたことが非常に残念です。

100% 脆弱性のないサービスを構築・運用するというのは困難ですが、基本的なセキュリティ対策は施した上でサービスを提供して欲しいと願います。

それが、ユーザーに対するサービス提供者の責任だと思いますので。

 

■関連エントリー


スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

コメントを書く



プロフィール

  • 名前:fnya
    経歴:
    SE としての経験は15年以上。様々な言語と環境で業務系システム開発を行い、セキュリティ対策などもしていました。現在は趣味SE。

    Twitter では、ブログでは取り上げない情報も公開しています。


    ブログについて

    このブログは、IT、スマートフォン、タブレット、システム開発などに関するさまざまな話題を取り上げたり、雑感などをつづっています。


    >>ブログ詳細
    >>自作ツール
    >>運営サイト
    >>Windows 10 まとめ

    Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから