GitHubにブルートフォース攻撃、一部のパスワードが破られる：強固なパスワード設定や二要素認証を推奨

GitHubは米国時間の2013年11月19日、アカウントを破ろうと試みるブルートフォース攻撃を受けたことを明らかにした。

[高橋睦美，＠IT]

　GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。

　ブルートフォースとは、辞書などを用いて総当たり式にパスワードを試し、不正ログインを試みる攻撃のことだ。GitHubによると、今回の攻撃は4万近くの異なるIPアドレスから時間を掛けて行われた。この結果、脆弱なパスワードや、複数のサイトで使い回されているパスワードなどが破られたという。

　GitHubでは、不正ログインの被害に遭ったユーザーにはメールで通知を行うとともに、パスワードのリセット、アクセストークン、OAuth認証、SSH鍵の失効措置を取った。また、攻撃に使われたIPアドレスからログインした形跡があった一部の強力なパスワードを使っていたユーザーについても、同様の措置を取ったという。

　GitHubでは、一連の攻撃に関する調査を進めるとともに、ログインのレートリミットの強化といったサーバ側の対策を実施。同時にユーザーに対しては、広く知られている脆弱なパスワードを利用せずに強固なパスワードを設定し、二要素認証を利用すること、ログイン試行の履歴を確認できる「Security History」ページを参照することなどを推奨している。