というのもメールの送り主はトリップアドバイザーであり、「credential stuffing(パスワードリスト型攻撃)」からユーザーを守るためにパスワードの変更を促すメールだったのだ。
同社はセキュリティの徹底的な見直しを行い、ユーザーが使用中のパスワードを、パスワード流出チェックサイト「HaveIBeenPwned」で照合し、ハッキング攻撃で流出したものと比較したという。
パスワードの使い回しは、セキュリティにおいて最大の問題の1つにあげられる。多くの人が複数のサイトで同じパスワードを使っていることの理由に「パスワード疲れ」があると専門家は指摘する。
あまりにたくさんのサイトに登録するため、堅牢なパスワードを新たに考え出すことを諦めてしまうのだ。その結果、簡単に推測できるパスワードや、全く同じパスワードが使い回されている。
ユーザーのパスワードを単純に分析するとプライバシーの侵害になるが、トリップアドバイザーはパスワードをハッシュ化している。つまりパスワードを一定の計算手順によってハッシュ値に置き換えているため、同社にはユーザーのパスワードが分からない。
しかし、ハッシュ値同士の比較は有効だ。そこでユーザーのメールアドレスとパスワードのハッシュ値の組み合わせで比較を行い、パスワードの使い回しが行われていないかを調査したという。
そして、メールアドレスとパスワードのハッシュ値の組み合わせが、昨年流出した5億組のリストに含まれていた場合、トリップアドバイザーはパスワードのリセットを促すメールをユーザーに送ったのだという。
トリップアドバイザーはフォーブスが選ぶ「優れた中規模企業リスト(Best Midsize employers)」にも選出された企業だ。このような前向きな取り組みを行う企業が、今後増えることを期待したい。
