富裕層・投資家の「今と先」を伝えるキュレーションサイト

Spotifyが一部のアカウントに対し「不審な活動」を理由にパスワードをリセット

音楽配信大手のSpotifyが一部のユーザーに対し、アカウトのパスワードをリセットしたと通知した。対象となったユーザーの数は不明だが、自分が対象となった理由がわからないユーザーがたくさんいるようだ。

ユーザーは「不審な活動が検出されたため」パスワードをリセットしたというメールをSpotifyから受け取ったが、詳しい説明はなかった。

Spotify広報のPeter Collins氏は次のように述べている。「我々のサービスに対する不正な行動を阻止するために日頃からメンテナンスをしている。その一環で最近、予防措置としてパスワードをリセットしたことを一部のユーザーに伝えた。我々はベストプラクティスとして、自分を保護するために複数のサービスで同じ認証情報を使わないことをユーザーに対して強く推奨している」。

つまりSpotifyは、どこかのサイトから漏洩したユーザー名とパスワードを使ったリスト型攻撃があると言っていることになる。

TechCrunchはパスワードリセットのメールを受信した人々に問い合わせをした。複数のウェブサイトで同じパスワードを使っていたという人もいれば、Spotifyだけのパスワードを使っていたという人もいた。Hacker Newsのスレッドには、自分のパスワードはSpotifyだけに使っているものでありリスト型攻撃には疑問があると書き込んだ人が2人いる。

パスワードに脆弱性がある、または容易に推測できると考えられる場合に企業がユーザーのパスワードをリセットすることはめずらしくない。通常、企業はパスワードを平文では保存せず、ハッシュ化している。脆弱なパスワードや流出したパスワードのリストを同じアルゴリズムでスクランブルすれば、企業は自社が保有するデータベース中の脆弱なパスワードを見つけ、予防策としてパスワードリセットのメールを送信する。

NetflixもFacebookSpotifyも、他社のデータ漏洩があった場合にそのデータを入手し、流出したパスワードを自社のデータベースと照合して、事前の対策としてアカウントのパスワードをリセットしたことがある。TechCrunchはSpotifyに対してさらに問い合わせをしたが、返答はなかった。

ChipotleDoorDashOkCupidの顧客はいずれもここ数カ月でアカウントのハッキングがあったと報告している。3社ともデータ漏洩を否定している。

画像: Spencer Platt / Getty Images

[原文へ]

(翻訳:Kaori Koyama)