ゲッティイメージズ
アイルランド当局は、数億のユーザーパスワードを平文で保存し、従業員が広く利用できるようにしたとして、メタ社に1億100万ドルの罰金を科した。
Metaは2019年初めにこの失態を明らかにした。同社は、Metaが所有するさまざまなソーシャルネットワークに接続するためのアプリがユーザーのパスワードを平文で記録し、データベースに保存していたと発表した。そのパスワードは約2,000人の社内エンジニアによって検索され、彼らは集合的に隠し場所を詳しく調べたという。 900万回以上。
メタは5年間にわたって調査された
メタ関係者らは当時、このエラーは社内ネットワークのデータ保管慣行の定期的なセキュリティ審査中に発見されたと述べた。彼らはさらに、誰かが内部でパスコードに不正にアクセスしたという証拠や、社外の人々がパスコードにアクセスできたという証拠は何も見つからなかったと述べた。
こうした保証にもかかわらず、今回の開示により、メタ側の重大なセキュリティ上の欠陥が明らかになりました。 30 年以上にわたり、ほぼすべての業界でのベスト プラクティスは、パスワードを暗号化してハッシュすることでした。ハッシュとは、平文の一意の入力ごとに一意の長い文字列を割り当てる一方向暗号アルゴリズムを介してパスワードを渡す方法に適用される用語です。
変換は平文からハッシュへの一方向のみで行われるため、ハッシュを平文に戻すための暗号化手段はありません。最近では、これらのベスト プラクティスが世界中の国の法律や規制によって義務付けられています。
ハッシュ アルゴリズムは一方向にのみ機能するため、対応する平文を取得する唯一の方法は推測することであり、このプロセスには大量の時間と計算リソースが必要となる可能性があります。パスワードのハッシュ化の背後にある考え方は、住宅の火災保険の考え方に似ています。パスワード データベースのハッキングや住宅火災などの緊急事態が発生した場合、この保護機能により、利害関係者は、そうでなければもっと悲惨な事態になる可能性がある危害から保護されます。
ハッシュ スキームが意図したとおりに機能するには、多数の要件に従う必要があります。 1 つは、ハッシュ アルゴリズムは大量のコンピューティング リソースを必要とするように設計する必要があるということです。そのため、SHA1 や MD5 などのアルゴリズムは、必要最小限のコンピューティングでメッセージを迅速にハッシュするように設計されているため、不適切になります。対照的に、パスワードのハッシュ用に特別に設計されたアルゴリズム (Bcrypt、PBKDF2、SHA512crypt など) は速度が遅く、大量のメモリと処理を消費します。
もう 1 つの要件は、アルゴリズムに暗号化「ソルティング」を含める必要があることです。ソルティングとは、ハッシュ化される前に平文のパスワードに少量の余分な文字を追加するものです。ソルティングにより、ハッシュを解読するために必要な作業負荷がさらに増加します。クラックとは、多くの場合数億単位に相当する多数の推測をアルゴリズムに渡し、各ハッシュを侵害されたデータベースで見つかったハッシュと比較するプロセスです。
ハッシュの最終的な目的は、パスワードをハッシュ形式でのみ保存し、決して平文として保存しないことです。これにより、ハッカーも悪意のある内部関係者も同様に、最初に大量のリソースを費やすことなくデータを使用できなくなります。
Meta が 2019 年にこの失態を明らかにしたとき、同社が数億のパスワードを適切に保護できていなかったことは明らかでした。
アイルランドデータ保護委員会の副委員長グラハム・ドイル氏は、「ユーザーがそのようなデータにアクセスすることで生じる悪用のリスクを考慮すると、ユーザーのパスワードは平文で保存すべきではないというのが広く受け入れられている」と述べた。 「この場合の検討対象となるパスワードは、ユーザーのソーシャルメディアアカウントへのアクセスを可能にするため、特に機密性の高いものであることに留意する必要があります。」
同委員会はメタが5年以上前に事件を公表して以来、この事件を調査してきた。米国のほとんどのインターネットサービスに対する欧州連合の主要規制当局である政府機関は今週、1億100万ドル(9100万ユーロ)の罰金を課した。 EUはこれまでに、2018年に発効した一般データ保護規則(GDPR)違反でメタ社に22億3000万ドル(20億ユーロ)以上の罰金を課している。この額には、昨年の記録的な罰金13億4000万ドル(12億ユーロ)も含まれている、メタが魅力的です。