大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいしたことが明らかになりました。

「外部からの不正アクセスによる情報漏えい」だけならば、そう珍しいことではありません。けれどこの一件では、パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいます。このデータを手に入れた誰かが、わざわざデータを復号しなくても、そのまますぐに悪用できるからです。

既にあちこちで報じられていることから対応済みの方も多いと思いますが、もし宅ふぁいる便で使っていたものと同じパスワードを他のサービスでも使い回していた場合、速やかに変更する必要があります。

「なぜ、暗号化していなかったのか」を考察

さて、この一件では、「今どき、パスワードを暗号化せず、平文のまま保存しているなんてあり得ない」という声が目立ちました。そう、パスワードの使い回しを見越して仕掛けられる「パスワードリスト攻撃」が決して珍しくない今、常識に照らせば、あり得ないことです。

でも、10年前、20年前はどうだったでしょうか。

1|2|3 次のページへ