世間を賑わしたビジネス向けSNS「LinkedIn」の大量パスワード流出について、セキュリティベンダーのいくつかはブログで解説や見解を示した。スロバキアのイーセットも、その重大性をブログで解説している。
イーセットの主張では、今回のセキュリティ侵害は他の事例と大きく異なる点がある。ユーザーが、自身の職業について本当の情報をサイトに登録していることだ。「Facebook」サイトで見かける、どのパーティーに行く予定だとか、何のゲームをやっているとか、そんな程度の情報ではない。
LinkedInでは「コンタクト」に登録してある誰かがプロフィールを変更すれば、そのたびに更新情報が表示される。これは、ユーザーが自身について投稿したことに対するピアレビューとしての集合的効果があり、投稿内容がユーザーの人生に直接関わっている人物や企業に知らされるため、正確かつ正直なプロフィールを作ろうとするようになる。
LinkedInのプロフィールに記録している個人のビジネス情報が、ビジネス分野で価値があることは言うまでもないだろう。広告主にとっても、悪意のある者にとっても、喉から手が出るほど欲しいものだ。例えば、競合企業のスタッフが急激に減っていることが、LinkedInを通じて周囲に分かってしまったとする。こうしたことはM&A(合併・買収)の交渉に影響を与え、大幅に取引の価値を揺り動かす可能性がある。
またLinkedInは、ユーザーの履歴書のように利用されることがあり、パスワード漏洩は重大なプライバシー侵害にもつながる。LinkedInにとっては最悪の事態である。イーセットは、LinkedInには今後、ユーザーとデータを確実に保護するよう積極的な対策を講じることを望むとし、その間にユーザーはパスワードに加えて、ユーザー設定を見直し、自身の重要な情報へのアクセスを理解し、共有しても良いと考える相手を制限するべきだ、とアドバイスする。
こうすれば、意図せずデータが広がるのを防止できるだけでなく、侵害された可能性のある他のユーザーのアカウントによって自身の情報が直接影響を受けないように保護できる。
また、LinkedInのログインに使う電子メールアドレスの確認を求める電子メールが送られてきたとの報告があり、イーセットはこれを詐欺だと見ている。詳細は調査中だが、いずれにしろアカウント確認用だとするリンクを決してクリックしないよう、ユーザーに注意を呼びかけている。
詐欺メールの文面
