DNA 検査サービス「MyHeritage」のデータ流出で再認識される二要素認証の重要性
Motherboard が 6 月 4 日の月曜日に、DNA 検査の Web サイトである MyHeritage で 2017 年 10 月にセキュリティ侵害が発生していたと報告しました。あるセキュリティ研究者が、MyHeritage のサーバの外部にあるファイルに MyHeritage の 9,200 万件以上の電子メールアドレスとパスワードのハッシュが含まれていることを発見しました。MyHeritage の発表によると、これ以外のデータは流出しておらず(MyHeritage は、クレジットカード情報を保存しておらず、DNA データは別に保存していました)、攻撃者がこのファイルのデータを使用したことを示す証拠は見つかっていません。
盗まれたパスワードはハッシュされているため、パスワードそのものではなく、暗号化された形式のパスワードです。したがって、攻撃者が総当たり攻撃を使って、ユーザのパスワードを解読しようとする可能性があります(一般的には、名前の辞書と数字の組み合わせを使い、ハッシュを生成して、各ユーザの既存のパスワードと比較することで、そのユーザの認証情報を解読します)。また、こういった情報があれば、この 9,200 万件を超える電子メールに対して、極めて成功率の高いフィッシング攻撃を仕掛けることもできるでしょう。
攻撃者がある程度の数のユーザの認証情報を取得できた場合、同じパスワードが使われている可能性のある他のサービスでも、そのパスワードを試してみようと考えるかもしれません。たとえば、私が MyHeritage のアカウントと Amazon のアカウントで同じユーザ名とパスワードを使っていた場合、攻撃者が流出した認証情報を使って私の Amazon のアカウントにアクセスし、何かを購入してしまう恐れがあります。
MyHeritage は今回のデータ流出を受けて、その事実を速やかに報告しており、セキュリティ対策がすでに実施されています。ウォッチガードのプロダクトマーケティング担当ダイレクタである Tracy Hillstrom は、「同社が説明している多層型セキュリティアプローチには、DNA データのネットワークセグメンテーションを採用する、クレジットカード情報を別システムに分離する、顧客ごとに一意の鍵を使って一方向ハッシュしたパスワードを保存するといった対策が含まれており、流出したデータの範囲が限定的だったのは、こうしたアプローチが採用されていたためだろう」と説明しています。
MyHeritage は今回の発表で、二要素認証の機能をユーザ向けに公開する予定であると述べています。この機能が導入されていたとすれば、今回の流出もおそらくは防止できていたはずであり、多要素認証(MFA)を利用すれば、MyHeritage のデータが解読されたとしても、ユーザの他のアカウントが被害を受けることはないでしょう。弱いパスワードは、データ流出の原因として大きな割合を占めています。また、何十個ものアカウントを持つユーザが多いため、パスワードのベストプラクティスを常に守っているユーザはあまりいないでしょう。ユーザの認証情報を含むデータ流出の報告が増加していることを考えれば、MFA こそが、以前に流出した情報が他社のデータへのアクセスに使われるのを防ぐ有効な手段となるはずです。
2 点目として、ユーザデータベースがどのように盗まれたのかという問題が残されていますが、MyHeritage による調査にはもう少し時間がかかるものと思われ、この情報はまだ発表されていません。
ご自分の会社でデータ侵害が発生した場合は、以下の 3 点を検討することをお勧めします。
- ユーザデータベースがどのように盗まれたのかを調査し、その脆弱性を速やかに修正する(MyHeritage は現在、この作業に取り組んでいるものと思われます)
- すべてのユーザに、パスワードを直ちに変更するよう呼びかける(ただし、1 点目の対策を最初に実行しておかないと、効果がないかもしれません)
- すべてのユーザ、ユーザデータベースへのすべての種類の特権アクセスに対して、多要素認証を実装する(MyHeritage はこの対策をすでに発表しており、これは大きな一歩と言えるでしょう)
多要素認証の詳細については、Secplicity のこちらの記事を参照してください。