ソニー流出データが追加公開、管理の甘さが浮き彫りに

ソニー流出データが追加公開、管理の甘さが浮き彫りに 1

フォルダ名、ファイル名、パスワード、どれもわかりやすすぎました’。

ソニー・ピクチャーズがハッキングされて流出した大量の文書は今、犯人たちの手で徐々に公開されています。その規模はファイルサイズで100TB史上最悪とも言われますが、大量のパスワードリストが「Password」って名前のフォルダに入ってたとなっては、管理体制にも問題があったのでは?って気がしてきます。

新たに公開された文書には、数千件のユーザーネームとパスワードが入っていました。BuzzFeedはそこから比較的簡単に「Password」フォルダを見つけ、その中には「139件のワード文書、エクセルスプレッドシート、zipファイル、PDFがあり、そこにはソニー・ピクチャーズの内部コンピューターやソーシャルメディアアカウント、Webサービスアカウントへのパスワード数千件が入っていた」と言ってます。

しかも「ほとんどのファイルには、普通に『password list.xls』とか『YouTube login passwords.xlsx』といった名前が付けられていた」のだとか…。たしかに、ハッカーがログイン情報を探すときは、「password」なんて文字列は簡単すぎて逆に探さないかもしれないですよね。ハッカーの裏を書いた万全のセキュリティ…!

という皮肉はさておき、ほんとになんでこんなわかりやすい管理にしちゃってたんでしょうね。実際のエクセルファイルはこんな感じで、大事な部分はネタ元のBuzzFeedでモザイクかけてますが、この一目瞭然っぷりをご覧ください。

ソニー流出データが追加公開、管理の甘さが浮き彫りに 2

さらにBuzzFeedでは、個々のパスワードの中身も英数字の組み合わせになっていなかったり、わかりやすい単語と簡単な数字の組み合わせだったり、安全性の低いものが多いと指摘しています。また怖いのは、ソーシャルメディアアカウントの情報だけでなく、クレジットカードやアマゾンののアカウント情報まで入っていたことです。犯人のホリデーショッピングがこれで充実しそうです。

最初、このハッキングは平壌発とも言われていましたが、北朝鮮は関与を否定しています。ソニー・ピクチャーズが金正恩暗殺の映画を作っていることへの報復だという噂もあったんですが、lulzsecが黒幕だという説も浮上してきました。ソニー・ピクチャーズは3年ほど前にもlulzsecにパスワードを盗まれていたので、またやられちゃったってことでしょうか…。

source:BuzzFeed

Adam Clark Estes - Gizmodo US[原文

(miho)