Ashley Madisonのアカウント盗難事件が明かす‘愚かなパスワードは不滅です’

screen-shot-2015-08-19-at-1-10-47-pm

人気の不倫サイト(ただし女性の多くはボットだという説もある)Ashley Madisonの最近のハッキング事件は、数百万のアカウント情報が盗まれるという大規模な被害だったが、われわれに再び、あのおなじみの苦(にが)い良薬を服(の)ませてくれた。それは、パスワードは必ず暗号化されるけれども、暗号は愚かしいパスワードの愚かしさを救ってはくれない、という事実だ。

Ashley Madisonは、そのビジネスの実態が世間のひんしゅくを買ったが、ユーザのパスワードは確実に暗号化していたようだ。しかしbcryptでハッシュしたパスワードであっても、元のパスワードがたとえば、123456のように愚かなパスワードなら、簡単に見破られてしまう。

そして、どういう結果になるのか…

セキュリティ企業のAvastは、Ashley Madisonのアカウントデータベース(そこにはbcryptでハッシュされた3600万件のパスワードがある)から最初の100万件を取り出し、それらをパスワード解読ユーティリティhashcatでスキャンした。その結果25393件のユニークなハッシュの解読に成功し、そこに1064件のユニークなパスワードを見つけた。

ここで‘ユニーク’というのは、ものすごく複雑で解読困難、という意味ではなく、‘これまでに解読したものの中にはそれと同じものがない’、という意味だ。25393-1064=24329件のパスワードには、同じものが複数あったのだ。

同社は解読作業のために二つのよく知られているパスワードリストを使った。ひとつは2008年までのThe Top 500 Worst Passwords of All Time(もっとも多いパスワードのトップ500)、もうひとつは、2009年のRockYouのハックで流出した1400万件のパスワードだ。

これらのデータを利用して同社は、Ashley Madisonのパスワードのもっとも多いトップ20を解読した:

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. pussy
  7. secret
  8. dragon
  9. welcome
  10. ginger
  11. sparky
  12. helpme
  13. blowjob
  14. nicole
  15. justin
  16. camaro
  17. johnson
  18. yamaha
  19. midnight
  20. chris

結果は意外でもないが、でもなぜ、nicoleがそんなに多いのだろう?

Ashley Madisonの営業開始は2001年だから、最初の100万のユーザのアカウント情報といえば、ごく初期のユーザかもしれない。

だとするとそれを、最後の(最新の)100万と比べると、おもしろい結果が得られるだろう。そのほぼ15年のあいだに、パスワードの作り方は進歩し、賢くなっただろうか? Avastは、パスワードのデータベースは時系列でソートされていたと‘想定している’と言っているから、実態は不明だ。

でも、年月とは関係なく、一つだけ明らかなのは、人間はとりあえず、自分にとって覚えやすいパスワードを作ろうとすること。人間の脳はデータの貯蔵庫としてあまり高性能ではないから、どうしても、愚かなパスワードが増えてしまうのだ。この状況を修復するためには、新しいユーザ認証技術の登場、または、もっと覚えやすくて使いやすいパスワード技術の登場、どちらかが必要だ。〔関連記事(未訳)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ハックされた不倫サイト、Ashley Madisonのビジネスは順調

6907410218_54610ba649_k-1

もし「控え目な出会い」サイト、Ashley Madisonで働く人々を気の毒に思っているなら、その必要はない。彼らはとても元気のようだ。この愛すべきプレスリリースによると、Ashley Madisonの運営会社、Avid Life Mediaには、世界を轟かせたハック事件以来、「何十万もの自分の情報を盗まれたがっている能なし人々が新規登録した」。

同サイトを使っていた有名人に関する会話や物語は山ほど出回っているが…いったい誰に裁く資格があるというのか。彼らは順調にやっている!

同社は最近、CEOが辞任し、「双方合意」の上であったと発表した。

今日の発表以前同社は、「われわれは犯罪者による当社およびメンバーのプライバシーに対する攻撃に鋭意対応している」と言っていた。どうやら、いかに会社がすばらしいかを報告するために一息ついたようだ(もう一度ハックして欲しいというサインではもちろんない)。

Ashley Madisonに崩壊が迫っているという最近の報道は、著しく誇張されている。当社はハッカー犯罪者による個人データ盗難に対応しながら日常業務を継続している。当社および顧客が攻撃を受けたにもかかわらず、われわれは成長している。先週だけで、数十万人の新規ユーザーがAshley Madisonプラットフォームに登録した ― うち8万7596人は女性だった。

その通り。サイトには「数十万人」の新規ユーザーが登録しただけでなく、その中には女性もいる。偽女性ではないので念のため。同社は、先週「280万通以上のメッセージを」女性が発信したと言っている。

結構なことだ。今回のハックはサイトにとって最高の出来事だったわけだ。幸い、これで本誌は彼らの無料プロモーションのために記事を書く必要がなくなった。実際私は、あの「シーッ」ホームページを2度と見たくないと真剣に思っている。

Screen Shot 2015-08-31 at 2.28.21 PM

お元気でさようなら、Ashley Madison。

[原文へ]

(翻訳:Nob Takahashi / facebook

不倫サイトAshley Madisonの漏洩データを使って、恐喝するハッカーたち

screen-shot-2015-08-19-at-1-10-47-pm

不倫サイトAshley Madisonを襲ったハッカーらは、同サイトを使って浮気を目論んだであろう人々をゆするべく3600万通のメールを盗んだ。Brian Krebsが、ミルウォーキーのメールプロバイダー管理者Rick Romeroから聞いたところによると、彼がスパムフィルターを作って発信メールをブロックしたところ、ハックされたユーザーに対してアカウントを公開されたくなければ1Bitcoinを払うよう要求するメールが見つかった。

こんにちは、

誠に遺憾ながらあなたのデータは最近のAshley Madisonハック事件で漏洩し、今私はあなたの情報を持っている。

もし、私がこのテータをあなたのパートナーに送ることを防ぎたいなら、1.0000001Bitcoinsちょうど(約225米ドル)を以下のアドレスにお送りいただきたい。

1B8eH7HR87vbVbMzX4gk9nYyus3KnXs4Ez [link added]

誤った金額を送金することは、支払ったのがあなたであることが私にわからないことを意味している。

このメールを受け取ってからBTC(Bitcoin)を送るまでに、7日間の猶予がある。BTCを購入する場所を探す必要があれば、以下を調べられたい…

ユーザーの一人、MacはKrebsに、恐喝には大変困惑しているが心配はしていない、と話した。「やつらは私の請求先住所と姓名を知っているから、自宅の住所や私の素性を知ることは比較的容易だろう」と彼は言う。「もし暴露されれば結果は甘んじて受けるつもりだが、もちろんそうならないことを願っている。妻と私は二人とも幸せな結婚生活を送っているから」。

さらには、Ashley Madison自身がライバル相手にどんなハッキングを試みてきたかが徐々に明らかになってきた。例えば2012年、創業CTOのRaja Bhatiaは、ライバルのNerve.comが穴だらけだと書いている。

「彼らのプラットフォームは実にお粗末なつくりだ。私は全ユーザーデータを手に入れた」と、BhatiaはBidemanにメールで伝え、データベースのサンプルを入れたGithubアーカイブのリンクも書かれていた。「私は、無料ユーザーを有料ユーザーに変えることもその逆もできるし、ユーザー同士のメッセージを作成したり、未読状態をチェックすることもできる」

このリークが、様々な興味深い ー そして問題含みの ー ネタを、善玉ハッカーにも悪玉ハッカーにも与えることだけは間違いなさそうだ。

原文へ
 
(翻訳:Nob Takahashi / facebook