Gamigoオンラインゲームサイトのハッキングの教訓

ドイツのオンラインゲーム会社「Gamigo」は、2-3ヶ月前に、サイトに侵入され攻撃を受けたことを知り、ユーザーにその事実を通知しました。

結果、何と800万人以上のユーザーデータが表に出てしまったことが分かっています。ある筋によれば、このうちの90%程度のパスワードがあっさり解読されてしまったということです。

今回、Gamigoはかなり迅速に動き、ユーザーに直ちに通知しましたが、たとえ暗号化された形でも800万件のデータが流出したことは、常に新しいハッキングを狙う連中にデータを図らずも多くあげてしまったことになります。
 
 ハッカーがパスワード解析する時に利用するもの
 
ハッカーたちが、暗号化されたパスワードを解読するときによく使う手は、候補のワードリストを読み取って、言葉の組み合わせを機械的に試し続けるプログラムを使用することです。このようなリストはネットで無料で容易に入手でき、複数のリストを整理して有料で取引されているケースもあります。
 
Gamigoの被害者データは当初1,200万人分といわれていましたが、重複データを除くと、800万程度になったようです。既存の何千万規模といわれているワードリストに800万が新たに加わったのですから、ハッカーたちにとってはなんともありがたい話です。
 
Gamigoの情報漏えいから私たちが学んだこと
 
では、私たちはどうすればよいのでしょうか?

ハーレー氏のブログが正しいとすると、もっとも典型的なパスワードは「king」なのですが、パスワードの強度を上げることが、まず絶対必要な最初のステップです。これは安い保険といえるでしょう。

あなたのパスワードが、前出のワードリストに掲載されているような弱いものであるかどうかをチェックするサイトも存在しており、チェックする価値はありそうです。

弱いパスワードを使っている人が、複数のサイトで同一のパスワードを使用していることが多く、ハッキングの餌食になる危険性を自ら非常に高めてしまっている傾向があります。

ハッカーがある一つのアカウントに侵入できると、「秘密の質問」に対する回答にも入り込み、他サイトのアカウントにも侵入されてしまう確率が高まるので、傷口が深くなる可能性が高くなってしまいます。
 
Gamigoがユーザーにすぐ通知したこと自体は正しいことですが、同時に巨大なリストが残念ながら公になってしまっているのです。

blogeset.com
http://blog.eset-smart-security.jp/security/gamigo-game-site-hack-lessons-learned-and-what-should-you-do.html