2012年のLinkedInハッキング

2012年のLinkedInハッキング事件 は、2012年6月5日にLinkedInがハッキングされた事件を指します。約650万件のユーザーアカウントのパスワードが盗まれました。エフゲニー・ニクーリンはこの罪で有罪判決を受け、懲役88ヶ月の刑を言い渡されました。

ハッキングされたアカウントの所有者はアカウントにアクセスできなくなりました。LinkedInは公式声明で、パスワードのリセット方法を記載したメールを会員に送付すると発表しました。2016年5月、LinkedInは2012年の同じ侵害により、さらに1億件のメールアドレスとパスワードが漏洩していたことを発見しました。

ソーシャルネットワーキングサイトLinkedInは2012年6月5日にハッキングされ、約650万件のユーザーアカウントのパスワードがロシアのサイバー犯罪者によって盗まれた。^{[ 1 ] [ 2 ]}ハッキングされたアカウントの所有者はアカウントにアクセスできなくなり、事件後、ウェブサイトはユーザーに繰り返しパスワードの変更を促した。^{[ 3 ]} LinkedInのディレクターであるVicente Silveira氏^{[ 4 ]}は、同社を代表して公式ブログでウェブサイトがハッキングされたことを確認した。また、侵害されたアカウントの所有者は、ウェブサイト上でパスワードが無効になっていることに気づくだろうと述べた。^{[ 5 ]}

2016年5月、LinkedInは、2012年の同じ侵害からの追加データであると主張する1億件のメールアドレスとハッシュ化されたパスワードをさらに発見しました。これを受けて、LinkedInは2012年以降パスワードを変更していないすべてのユーザーのパスワードを無効にしました。^{[ 6 ]}

LinkedInから収集されたとみられる7億人以上のユーザーに関するデータを含むコレクションは、2021年6月初めにハッカーがそれを販売しようとした後、2021年9月にトレントファイルの形でオンラインに流出した。^{[ 7 ]}

インターネットセキュリティの専門家によると、LinkedInがパスワードをハッシュ化する際にソルトを使用しなかったため、パスワードの解読は容易だったという。ソルトは、既存の標準的なレインボーテーブル（スクランブルされたパスワードとスクランブルされていないパスワードを一致させた事前作成されたリスト）を使用して、攻撃者がスクランブル処理を迅速に元に戻せるため、安全でない方法だと考えられている。 ^{[ 8 ]}物議を醸したもう1つの問題は、LinkedInが提供したiOSアプリで、ユーザーの承認なしにモバイルカレンダーから個人名、メールアドレス、メモを取得するというものだった。^{[ 9 ]} Skycure Securityのセキュリティ専門家によると、このアプリはユーザーの個人データを収集し、LinkedInサーバーに送信するという。LinkedInは、この機能の使用許可はユーザーが付与しており、情報はSecure Sockets Layer（SSL）プロトコルを使用して安全に送信されると主張した。同社は、その情報を第三者に保存したり共有したりしたことは一度もないと付け加えた。^{[ 10 ] [ 11 ]}

米国下院議員のメアリー・ボノ・マック氏は、この事件について「議会がようやく目を覚まし、行動を起こすまでに、一体何度このようなことが起こるというのだろうか。今回の事件は、データ保護法の制定の必要性を改めて浮き彫りにしている」と述べた。パトリック・リーヒ上院議員は、「新たな大規模なデータ漏洩の報告は、これまで以上にオンライン取引やネットワーキングにおいて機密性の高い個人情報を共有しているアメリカの消費者に、改めて考えさせるものだ。議会は包括的なデータプライバシーとサイバー犯罪に関する法整備を最優先事項にすべきだ」と述べた。^{[ 12 ] [ 13 ]}

Rapid7のセキュリティ研究者マーカス・ケアリー氏は、ハッカーたちが数日前にLinkedInのデータベースに侵入していたと述べた。^{[ 14 ]}彼は、ハッカーたちが攻撃後もウェブサイトにアクセスしていた可能性があると懸念を表明した。

セーブオロジーの副社長マイケル・アロノウィッツ氏は、「毎日何百ものサイトがハッキングされ、個人情報が盗まれています。あるアカウントのログイン情報が盗まれれば、個人情報や金融情報が保存されている他のアカウントに簡単にアクセスできてしまいます」と述べています。セキュリティ専門家は、盗まれたパスワードは比較的簡単に解読できる方法で暗号化されており、これがデータ漏洩の原因の一つであると指摘しています。^{[ 15 ]}

イリノイ州在住のLinkedInの長年のユーザーであるケイティ・シュピルカ氏は、LinkedInが接続とデータベースのセキュリティ確保の約束を守らなかったとして、同社を相手取り500万ドルの訴訟を起こした。LinkedInの広報担当者であるエリン・オハラ氏は、この訴訟について問われた際、弁護士らがこの状況を利用し、SOPA法案とPIPA法案を米国議会に再び提出しようとしていると述べた。^{[ 16 ]}

2012年11月26日、Szpyrka氏と、米国バージニア州のLinkedInプレミアムユーザーであるKhalilah Gilmore–Wright氏を代表して、侵害の影響を受けたすべてのLinkedInユーザーの集団代表として、修正された訴状が提出されました。^{[ 17 ]} この訴訟では、原告と集団のメンバーに対する差止命令およびその他の衡平法上の救済、および賠償と損害賠償を求めました。^{[ 17 ]}

LinkedInはデータ漏洩後すぐに謝罪し、ユーザーにパスワードの即時変更を求めた。^{[ 1 ]}連邦捜査局（FBI）はLinkedIn社の窃盗事件捜査に協力した。2012年6月8日時点で捜査はまだ初期段階にあり、同社はハッカーが侵害されたユーザーアカウントに関連付けられたメールアドレスも盗んだかどうかは確認できていないと述べている。^{[ 18 ]} LinkedInは、パスワードが侵害されたユーザーは、古いパスワードを使用してLinkedInアカウントにアクセスできなくなると述べた。^{[ 19 ]}

2016年10月5日、ロシアのハッカー、エフゲニー・ニクーリンがチェコ警察にプラハで拘束された。米国は彼に対するインターポールの逮捕状を請求していた。^{[ 20 ]}

米国の大陪審は、ニクーリンと名前を伏せた共謀者3名を、加重個人情報窃盗罪とコンピュータ侵入罪で起訴した。検察は、ニクーリンがLinkedIn従業員のユーザー名とパスワードを盗み、それを用いて同社のネットワークにアクセスしたと主張した。ニクーリンはまた、DropboxとFormspringへのハッキングで告発され、ユーザー名、メールアドレス、パスワードを含むFormspringの顧客データを盗んで売却しようと共謀した疑いもある。^{[ 21 ]}

ニクーリンは有罪判決を受け、懲役88ヶ月を宣告された。^{[ 22 ]}