OCN ID 流出問題第 2 報で、流出確定と発表

OCN IＤのサーバーへの不正アクセスについて（第2報）｜ OCN

OCN の第 2 報が出てました。

2013年7月24日に発表したとおり、外部からの不正アクセスが発生していたことが判明しました。その後調査した結果、OCN ID用のメールアドレスと暗号化されたパスワードなどが外部へ流出する被害があったことを確認しました。

昨日は「流出の可能性」でしたが、流出確定とのこと。何件流出したかは明記されていません。実際の所わからないんでしょうねぇ。

あれ？「パスワードなど」の「など」ってなんだよ？^^;
他に付加情報も漏れてるんですねぇ。個人の特定に関係ない情報だといいのですが・・・。

OCN のサイト、特に Web メールやパスワード変更ページは負荷集中で、今もってアクセス不能です orz
Twitter の流出騒ぎの時も慌ててパスワード変更しましたが、こんなレスポンス悪化は無かったですよねぇ。ま、Twitter は負荷分散の権化のようなものかもしれないけど。

だからと言って、アクセス集中に耐える対策を取ってから発表するというわけにもいかなかったでしょうしねぇ。
次善策、予防・防止策は計画・実施していたけど、事後策、もし発生した時のことは十分に想像できてなかったんですねぇ。

OCN にとって流出も大きなダメージですが、パスワードを変更しろと言われて変更ページに到達すらできないというのは、ユーザーの不安と不満を倍増させて、さらに大きなダメージです。

流出したパスワードは暗号化されているとのことですが、プロが本気になれば解けないものはありません。
暗号というものは、絶対解けないから安全なのではなく、解読の面倒さ、かかる時間の長さから、解読を諦めさせるのが実質的な効果です。

騒ぎが大きくなれば、本気で解読しようというモチベーションも上がるでしょう^^;

そもそもパスワードを解読しなくても、メールアドレスからその人の周辺情報を集めて、類推することもできますし。まずはありがちなパスワードをしらみつぶしにあたるでしょうからねぇ。

OCN と同じパスワードにしている他のサービスもパスワード変更しておいた方がいいですねぇ。

まぶてく！