Web屋のネタ帳

ヤフオク「ID乗っ取り」で不正出品、被害は5000件に (Internet Watch 2008-09-26)

「入力されたIDの9割以上はYahoo!に存在せず、その中にはYahoo!では使えない『.（ドット）』や『-（ハイフン）』などの記号を含むIDも多かった。一方、Yahoo!で使われているIDが入力されたのは4％程度。不正なログインが確認されたケースでは、いずれも1～2回の入力でログインに成功していたことから、他社とYahoo!のID・パスワードが同一のユーザーが被害に遭った可能性が高い。」（ヤフー広報部）

大方のというか、少なくとも、IDとパスワードで認証するというタイプのWebサイトの構築／運営に関わったことのある人なら、容易に予想していたであろうそのまんまの展開。 （詳細は2週間ほど前に筆者が書いた「「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々」を参照してください）

一方で同じ件に関する読売新聞の記事は

ヤフオクＩＤ乗っ取り、特定アドレス１５０万件接続 : 社会 : YOMIURI ONLINE（読売新聞） (2008-09-26)

ＩＤなどが流出した経緯について、ヤフーは「会員がフィッシング詐欺に遭った可能性がある」と主張。また、ヤフオクのＩＤやパスワードと同じものを別のサイトで使っている人もいるため、「別のサイトから流出したＩＤなどのリストが使われているのではないか」と推測する。

　しかし、被害に遭った会員の中には、ヤフオクでしか使っていないＩＤなどを用いて侵入されているケースもあり、ヤフーの主張とは食い違う点もある。

ヤフーの言っていることは「主張」と書きつつも、会員の言っていることは「ケース≒真実」のように書いていることがこの記事のミソ。実際はどっちも「主張」なのに、そう書くとイーブンになってしまうからそうは書かない。 いずれにせよ新聞記者的に（世間一般的にも）ありがちなかたよりである。「大きな方が悪だ」

ヤフオクでID乗っ取り5000件　ヤフー、不正出品の被害補償へというITMediaのニュースも内容的に同じなので一応リンクしておく。

いずれも共通しているのが、元をたどれば他社からパスワードが漏れたことに起因してる可能性が高いと報じているわりには、さらにその元をたどると他社で同じパスワードを使っていた＝パスワードを（この場合ではヤフオク以外の）第三者に教えてはいけないという常識的ルールを破っていたユーザーである、という実態についてなんら言及していない。なんだかなあ。

そしてなによりも、Internet Watchと読売新聞の両方の記者が書くべきだったこと↓

「いろんなサイトで同じパスワードを使いまわしている人はそもそもそれはおかしいことなのでなるべく早くパスワードを変えましょう」ぐらい最後に添えろよ。

「パスワードを平文で保存していたこと自体を指弾する業界関係者や業界マスコミがほどんどいないということに、もう驚愕っていうか、絶望」している件は、やっぱり期待してもしょうがないからいいや。。。

see also:

• パスワードの危機(その１) − きっかけ (2004/2)
• パスワードの危機(その２) − あるべき姿 (2004/2)
• パスワードの危機(その３) − 楽天の場合 (2004/2)
• パスワードの危機(その４) − SSL催眠術 (2004/2)
• パスワードの危機(その５) − アマゾンの場合 (2004/3)
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々 (2008/9)
• 拝啓 消費者支援機構関西 様 (2008/9)
• パスワードはサイバースペースの「実印」 セキュリティー-西本逸郎のセキュリティー表ウラ (日経IT-PLUS 2008/2)

追記

コメントありがとう。 レインボーテーブルの話なら他の記事でコメントしていただきたかったところですがまあ一応ここで紹介しておきます。

レインボーテーブル - Wikipediaより。

salt の使用
ハッシュに salt が使われている場合、レインボーテーブルの有効性は著しく低下する。例えば、次のようなハッシュ関数 MD5() を考える（ここで、 "." は文字列結合演算子とする）。

hash = MD5 (password . salt)

このようなハッシュからパスワードを得る場合、取りうる salt の値の数だけテーブルを作成する必要がある。このような場合、レインボーテーブルの効果は大幅に薄れてしまう。