gooの不正ログイン事件等でわかったこと。

http://negi.hatenablog.com/entry/2013/04/07/171452

どこかから、IDとパスワードのセットが漏れた。
それをきっかけに、そのセットが、複数のサイトで「チェック」されてる。
つまり、複数のサービスで、IDとパスワードのセットを同じにしているなら、被害に遭う。

> 攻撃ログを解析したところ、単一ID・単一パスワードの一対のセットでログインを試行し、成功しなければ次のセットを順に試行していく手法がメインであることも判明してきた。
> 他社サービスで使われていたID・パスワードのセットリストが流出した可能性が高いとみている。
> 実際、すでに10万アカウントという規模で不正ログインが成功しているわけだが、ログからは、その何倍ものログイン試行が失敗していることが確認されているという。
> なお、gooIDの現時点での登録数は約1800万アカウント。
（また引き、抜粋 from http://internet.watch.impress.co.jp/docs/news/20130403_594463.html ）

対策。
1. 複数のサービスで、パスワードを同じくしない。
2. 複数のサービスで、IDを同じくしない。

2番でもOKなのが興味深い。
なぜなら、個人情報による突き合わせは、ログインしない間は無理なので、IDで比較するしかないから。

3. 定期的にパスワードを更改する。
今まで「いらなくね？」ってよく言われてきたことだけれど、
漏洩と攻撃のタイムラグの間に（運よく）更改されれば被害なしということを鑑みて、入れておくべきだと思う。
目安はわかんないけど。

というか、今回の攻撃って、どこのサイトの、いつ漏洩したデータなんですかねぇ？