Vimeoアカウントは凍結していましたか?理由はこちら
個人が自分のセキュリティに責任を負い、このタスクを十分に真剣に受け止めない場合に結果を負うべきであると言うのは安全です。それにもかかわらず、ユーザーを保護するために積極的な措置を講じるオンラインサービスプロバイダーは、間違いなく後背位に値します。とはいえ、アクションをユーザーと通信することはおそらくアクション自体と同じくらい重要であり、残念なことに、これは時には物事が誰もが期待するほどうまく行かない場合があります。たとえば、ビデオ共有プラットフォームのVimeoは、十分に説明されていないセキュリティイニシアチブが多くの混乱を引き起こす可能性があることを示しました。
「凍結」アカウントにより、Vimeoユーザーは頭を悩ます
先週、一部のVimeoアカウント所有者は、ビデオ公開プラットフォームにログインできないことに気付きました。 infosecジャーナルThe Registerの読者であるDavid Smithは、「見知らぬ人」が自分のアカウントにアクセスし、Vimeoを保護するためにプロファイルを凍結することを通知する通知を受け取ったと説明しました。この種のシナリオは、皆さんが考えるほど珍しいことではなく、不正アクセスについて話しているものの、必ずしもオンラインサービス(この場合はVimeo)が侵害されたことを意味するわけではありません。
資格情報の詰め込みは、サイバー犯罪者の間でますます一般的になっています。その中で、詐欺師は1つのWebサイト(オンラインディスカッション掲示板など)から盗まれたユーザー名とパスワードのデータベースを取得し、別のプラットフォーム(Facebookなど)で試してみます。非常に多くの人々が複数のWebサイトで同じログイン資格情報を再利用するため、ソーシャルネットワーク自体がハッカーの標的になっていないにもかかわらず、かなりの数のFacebookプロファイルが危険にさらされる可能性があります。
最近マイクロソフトによって公開されたいくつかの統計は、パスワードスプレーも最近ではかなり一般的であることを示しています。パスワードスプレー攻撃では、詐欺師は既知のユーザー名のリストを取得し、一般的に使用される推測しやすいパスワードと組み合わせます。繰り返しますが、同じ弱いパスワードを使用する傾向は、サイバー犯罪者が比較的簡単にユーザーのアカウントに侵入できることを意味します。
Vimeoは、マルウェアがユーザーの資格情報を盗んだと言った
デビッド・スミスは、クレデンシャルスタッフィング攻撃の標的になっていないことを知っていました。また、パスワードスプレーが関与していないこともかなり確信していました。彼は、多くの人とは異なり、Vimeoアカウントにランダムに生成された一意のパスワードを使用していたため、他の何かが問題であると確信していました。
困惑して、彼は何が起こったのか理解しようとして、レジスターに手を差し伸べた。ジャーナリストは賢明ではありませんでしたが、彼らはVimeoに連絡し、ビデオ共有プラットフォームは最終的に実際に何が起こっているかを明らかにしました。代表者は、Vimeoのセキュリティチームが「マルウェアから取得した侵害された電子メールとパスワードの組み合わせのリスト」を見つけたとThe Registerに語りました。彼らがどのようにそれらを見つけたかは不明のままですが、彼らはそれらをチェックし、データの少なくとも一部が有効であることに気付きました。ユーザーを保護するため、影響を受けるアカウントへのアクセスをブロックしました。
盗まれた資格情報がどれほど簡単にアクセスできるかは明確ではありませんが、状況がどうであれ、アカウントを凍結することは正しいことだと言っても安全です。ただし、はっきりしていないのは、Vimeoがユーザーや世界中のユーザーに通知せずにそれを行った理由です。今でも、ストーリーがThe Registerの毎週のニュースラウンドアップに掲載された後、Vimeoは通常の情報チャネルを通じて特定の詳細を公開していません。デバイスをマルウェアでスキャンしてパスワードを変更する必要があることを知らない場合もあります。
このようなアクションは、サービスプロバイダーに対する人々の信頼を強化することになっていますが、適切に説明されていない場合、逆の効果が生じる可能性があります。オンラインプラットフォームがユーザーの面倒を見てくれることを願っています。また、セキュリティインシデントのより透過的な処理を目撃できることを願っています。