taraiok 曰く、

既報の通り、6 日にビジネス向け SNS「LinkedIn」のハッシュ化された状態のパスワードが流出した (/.J 記事)。これについて同社は 9 日、公式ブログで最新状況を報告しているが、漏れたのはパスワードのみで、パスワードに対応するメールアドレスは「公開されていない」としている (Internet Watch の記事より) 。

セキュリティプロバイダ Qualys 社の研究者 Francois Pesce 氏は、流出した 120 MB の zip 圧縮されたファイルの解析を行ったところ、ファイルには 645 万 8020 個の情報が含まれていた。さらに、オープンソースのパスワードクラックツール「John the Ripper」とパスワードによく利用される 4,000 個の単語を集めたパスワード辞書を組み合わせてパスワード構造の統計分析を行ったところ、0.1 % にあたる 55 万 4404 個のパスワードは「linkedin」という単語に関連しているのが分かったという (HELP NET SECURITY の記事、本家 /. 記事より) 。

判明したパスワードからいくつかの母音を削除して新しいスラングの単語を推測することを繰り返したところ、 linkedin の前に適当な単語を追加したもの、単語の途中に数字などを入れたものなどの規則的なパターンのパスワードが多く含まれていることが分かった。これは、ユーザーが精巧だと思ったパスワードを選んでも、単語と規則に基づいて作っている限り、ツールで解析することが可能であることを明確に示している。例えば、現在の LinkedIn のパスワードが「MyPW4Linkedin」である場合、悪意のあるクラッカーなら「MyPW4Facebook」が Facebook のパスワードであると推測するのは簡単だ。今回の件で、パスワードを変更しようとする場合には単純なバリエーションで同じパスワードを使わないようにする注意が必要だろう。