個人情報流出の原因をユーザーのパスワード再利用だとするが、Instacartには未だに二要素認証がない

オンラインショッピングサービスのInstacartによると、最近多発しているアカウント侵犯の原因はパスワードの再利用だという。今や数十万のInstacartユーザーの個人情報が盗まれてしまい、ダークウェブで販売されている。

米国時間7月23日の発表によると、調査の結果、Instacart自身は侵害されていないが、ハッカーは他のサイトを侵害したときにユーザー名とパスワードのリストを入手し、それらをそのまま別のアカウント破りに利用している(Instacartブログ)という。

「今回の場合、第三者の悪意ある者たちが、以前に他のウェブサイトやアプリを侵害して得たユーザー名とパスワードを使って、一部のInstacartアカウントにログインしたと思われる」と声明で述べている。

この声明の前には、BuzzFeed Newsで27万あまりのユーザーアカウント情報がダークウェブで販売され、そこにはアカウントのユーザー名、住所、クレジットカード番号の最後の4桁、今週分を含む注文履歴が含まれていた、という記事が掲載されている

その記事でInstacartのスポークスパーソンはBuzzFeed Newsに対して「盗まれたデータは米国とカナダにいる数百万のInstacartユーザーのごく一部」だと話している。

本当に悪いのはパスワードを再利用したユーザーだろうか?それともパスワードの再利用に対する防止策を何もしていなかった企業だろう?

もちろん、悪いのは両方だ。インターネットのユーザーは各ウェブサイトごとにユニークなパスワードを使うべきだし、パスワードを記憶するためにパスワードマネージャーをインストールすべきだ(未訳記事)。またハッカーにパスワードを盗まれても自分のオンラインアカウントに侵入されないためには、できるかぎり二要素認証を使うべきだ(未訳記事)。サイトがその都度ユーザーの携帯電話にコードを送るため、ハッカーには見られないそのコードを第二のパスワードとしてアカウントを保護するのだ。

しかしInstacartは、すべてをユーザーの責任にすることはできない。Instacartは未だに二要素認証をサポートしていない。ユーザーが二要素認証を有効にしていたら、最初からアカウントのハッキングは防げたはずだ。私が確認したかぎりでは、Instacartには二要素認証を有効にするオプションがないし、サイトのどこにもこのセキュリティ機能への言及がない。

Google(グーグル)が2019年に発表したデータによると、最も基本的な二要素認証でも、ロボットによる自動化された認証情報盗みをかなり防ぐことができる。

二要素認証をサポートする計画があるかという質問に対してInstacartのスポークスパーソンであるLyndsey Grubbs(リンジー・グラブス)氏は、同社がすでに発表している上記の声明を紹介するだけだった。

「セキュリティは最もプライオリティが高いものであり、セキュリティ担当のチームもある。また多層的なセキュリティの仕組みにより、すべてのユーザーのアカウントとデータを保護している」とInstacartはいう。

しかし、二要素認証のような基本的なセキュリティ機能がなければ、Instacartのユーザーは自分のアカウントを守れない。現在のInstacartには、それを期待することはできない。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット:Patrick T. Fallon/Bloomberg/Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。