先般ニュースを賑わせているPSNの情報漏洩問題です。
先日のソニーの会見によると、
クレジットカードに関しては暗号化が出来ていた
氏名、住所、メールアドレスなどは多分漏れてます
パスワードは「ハッシュ化されたもの」が漏れてるかも、
とのこと。
パスワードはセーフなの?結局危険なの?
今回パスワードにかけられていたハッシュ化とはなんぞや?
多少の語弊を恐れずわかり易く解説を目指します。
ハッシュの仕組みを使うことでソニーは
ユーザーのパスワードそのものを
データベースに持たなくて済んだんですね。
なのでデータベースの中身を洗いざらい持って行かれても
パスワード自体はもれずに済んだという寸法です。
漏れたのはパスワードを推測する「手がかり」と思ってください。
ハッシュ化とは、元のパスワードをハッシュ関数で変換すること。
できたものをハッシュ値といいます。
ハッシュ関数はわりと簡単な構造ですが、
ハッシュ値から元のパスワードを計算することは
きわめて難しいという性質があります。
PSNにログインするときは
ユーザーが打ち込んだパスワードをハッシュ化した値と
PSNのデータベースにあるハッシュ値を比較して認証をします。
これが一致すれば「ユーザーは正しいパスワードを打ち込んだ」
と判断することができます。
別のパスワードをハッシュ化したときに
偶然同じハッシュ値になる可能性はほとんどゼロ。
つまりうっかり別のパスワードを打ったのに
素通りさせちゃった、という事態は心配無用なわけですね。
ハッシュの仕組みをとっていたので
パスワードそのものは漏洩せずにすんだようです。
ではハッシュ値がハッカーの手に渡る危険性とはなにか。
ハッシュ値から元の文を計算するのはとても難しいのですが
偶然打ち込んだ文字列が手元のハッシュ値と一致した場合
その文字列がパスワードそのものであるということが言えます。
パスワードの正否を判断する材料があるということで
人力でこじ開ける方法もわりと有名です。
最も安易なパスワードは? 流出情報の分析結果を発表
http://www.itmedia.co.jp/news/articles/1001/22/news025.html
ここにあるような簡単なパスワードの方はいないでしょうか?
ハッカーはありがちなパスワードというものを
相当量ピックアップします。
それに対応するハッシュ値をそれぞれ計算して
リスト化します。
123456:ハッシュ値A
iloveyou:ハッシュ値B
:
ワーストなケースをひとつあげると
もしあなたがiloveyouというパスワードを使っていて
今回そのハッシュ値が漏れて
ハッカーの手に渡ったとします。
そのハッシュ値がこのリスト内のハッシュ値Bと一致
→対応表から、値Bはパスワードiloveyouから導かれる
→こいつのパスワードはiloveyouだ
という推測ができてしまいます。
関数の種類やSALTで難易度は変わってきますが、
ハッカーの意欲次第で
一定数のパスワードは解析されてしまう可能性があります。
つまり、住所などの情報のみならず
パスワードについてもかなり金玉を握られた状態で、
ありふれたパスワードの場合は
決して楽観視できない状態と言えるでしょう。
特に他のサービスと使い回しているパスワードの場合、
早めに別のパスワードに変えたほうがいいです。
その他注意事項も纏めると
・使い回しているパスワードはすぐに変える
・クレジットカード情報は今のところ大丈夫っぽいけど
明細をこまめにチェック、不安ならカード会社に相談
・変なメール、手紙、電話は相手にしない
お金を要求するものは論外として、
パスワードや個人情報を追加で聞き出す手段も常套です。
ソニーとか警察とかを名乗っていてもその場で話を進めず
ソニー公式、地元の警察署などに必ず確認
まるでオレオレ詐欺の対策みたいですね。
情報化社会で詐欺にあわないためには
向こうからアプローチされたときには
相手方を信用しすぎないことでしょうか。
そもそもソニーを信用した結果がこれなんですが、
またソニーに情報を任せられる日が来るんだろうか・・・
眠いので締めがやっつけですみません