米Linkedinは現地時間2012年6月9日、約650万人分のパスワード流出に関して発覚以降の対応について説明し、「パスワード流出によりLinkedinアカウントが乗っ取られたとの報告は今のところ受けていない」と繰り返した。同社は現在も米連邦捜査局(FBI)と協力して調査を実施している。
この事件は、Linkedinが流出源と見られる大量のパスワードがロシアのハッカーフォーラムに投稿されているのを、ノルウェーのIT情報サイトが6月6日に報じたことがきっかけで発覚。LinkedinはこれらパスワードがLinkedinユーザーのものであることを同日中に認めた。パスワードのほとんどはハッシュ化(暗号化)されたままだったが、Linkedinが「ほんのわずか」とする一部パスワードは暗号が解除されていた(関連記事:LinkedIn、650万件のパスワード流出を謝罪、当局と調査続行)。
Linkedinによれば、同社はパスワード流出を知ってすぐに調査を開始した。それらがLinkedinパスワードであることを確認したのち、暗号解除されたパスワードと暗号化されたままのパスワードも含めて、同社が危険にさらされていると判断したパスワードはすべて無効にした。無効化作業に6月7日いっぱいまでかかり、その後、影響を受けたユーザーに通知メールを送信した。パスワードが無効になったユーザーには、パスワード再設定の方法を指示するメールが送られる。
同社は、フォーラムに投稿されたのはパスワードのみで、ログインに使われる電子メールアドレスなどパスワードと関連する他の情報は公開されていないことを強調した。
またLinkedinは、パスワードデータベースのセキュリティ対策についても説明した。元米Yahoo!副社長兼最高情報セキュリティ責任者のGanesh Krishnan氏などの専門家で構成されるセキュリティチームのもと、これまでハッシュアルゴリズムによる暗号化のみだったパスワードのデータベースシステムに、ソルト(salt)と呼ばれる暗号強化技術を導入した。ソルト追加はパスワード流出が報じられる前に完了していたという。同社は引き続き、セキュリティ強化のロードマップに沿った取り組みを進めるとしている。
[発表資料へ]
