Close RECOMMEND

Observing, pondering, and writing about tech. Generally in that order.

Tero Vesalainen/Shutterstock.com

旅行サイト「トリップアドバイザー」のユーザーらが先日、パスワードの変更を促す怪しげなメールが届いたとSNS上で不安を述べた。その内容はフィッシング詐欺のメールにも見えたが、実際は全く違うものだった。

というのもメールの送り主はトリップアドバイザーであり、「credential stuffing(パスワードリスト型攻撃)」からユーザーを守るためにパスワードの変更を促すメールだったのだ。

同社はセキュリティの徹底的な見直しを行い、ユーザーが使用中のパスワードを、パスワード流出チェックサイト「HaveIBeenPwned」で照合し、ハッキング攻撃で流出したものと比較したという。

パスワードの使い回しは、セキュリティにおいて最大の問題の1つにあげられる。多くの人が複数のサイトで同じパスワードを使っていることの理由に「パスワード疲れ」があると専門家は指摘する。

あまりにたくさんのサイトに登録するため、堅牢なパスワードを新たに考え出すことを諦めてしまうのだ。その結果、簡単に推測できるパスワードや、全く同じパスワードが使い回されている。

ユーザーのパスワードを単純に分析するとプライバシーの侵害になるが、トリップアドバイザーはパスワードをハッシュ化している。つまりパスワードを一定の計算手順によってハッシュ値に置き換えているため、同社にはユーザーのパスワードが分からない。

しかし、ハッシュ値同士の比較は有効だ。そこでユーザーのメールアドレスとパスワードのハッシュ値の組み合わせで比較を行い、パスワードの使い回しが行われていないかを調査したという。

そして、メールアドレスとパスワードのハッシュ値の組み合わせが、昨年流出した5億組のリストに含まれていた場合、トリップアドバイザーはパスワードのリセットを促すメールをユーザーに送ったのだという。

トリップアドバイザーはフォーブスが選ぶ「優れた中規模企業リスト(Best Midsize employers)」にも選出された企業だ。このような前向きな取り組みを行う企業が、今後増えることを期待したい。

編集=上田裕資

PICK UP

あなたにおすすめ

合わせて読みたい