Billy Steele / Engadget
Billy Steele / Engadget

Spotifyが、流出したサイバー攻撃に使われる約3億8000万件のデータベースに、ユーザーのログイン資格情報やその他の情報が含まれているとの報告を受け、ユーザーのパスワードを順次リセットする対応をおこなっています。

流出していた情報にはSpotifyのユーザー情報が含まれてはいるものの、Spotifyそのものにはハッキングの被害はなく、今回の情報は別のサービスから流出した模様です。また、この情報はvpnMentorと称する情報セキュリティ企業が発見しました。ZDNetが伝えるところでは、この企業はまだ設立されたばかりとのこと。

発見された情報はクレデンシャル・スタッフィング、別名パスワードリスト攻撃と呼ばれる攻撃手法に使われる類いのデータベース。クレデンシャル・スタッフィングでは、あるサービスから流出したユーザーアカウント情報をもとに、自動でその他多くのサービスにアクセスを試みます。もし情報が流出したサイトAのユーザーが同じユーザー名とパスワードの組み合わせをサイトBで使い回していれば、ハッカーは労せずして両方のサイトに侵入が可能になります。

vpnMentorは7月に出所不明の情報データベースを発見し、そこにSpotifyのユーザー情報が含まれているとわかったことから、数日後に音楽ストリーミングサービスに連絡しました。この情報には約30万~35万のアカウントが含まれ、メールアドレスや個人情報、国籍、ユーザーメーとパスワードが含まれていたとされています。またこれらデータは暗号化されていなかったため、このデータベースに含まれているユーザーはアカウント乗っ取りや、ユーザー名とパスワードを使い回している他のサービスにも不正にアクセスされる可能性があります。

われわれがこうしたハッキングの被害に遭わないためには、普段からサービス毎にパスワードを違うものに変えておくことが基本的かつ確実な対策と言えるでしょう。いちいちパスワードを考えて覚えるのが面倒だというのであれば、パスワードマネージャーと呼ばれるソフトなどを使うのも手ではあります。Spotifyは、自分のアカウント情報が適切に保護できているか心配なユーザーに向けてアカウント保護のためのアドバイスを記したページを用意しています。

source:vpnMentor
via:ZDNet