パスワードマネージャーサービスのDashlaneは3日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」の2020年版を発表した(Dashlane Blogの記事、 BetaNewsの記事)。

1位に選ばれたのはTwitter従業員。理由として挙げられているのは7月のアカウント侵害インシデントで、ターゲットになったTwitter従業員は偽のパスワードリセット画面にだまされて認証情報を入力し、多要素認証コードも抜き取られたという。その結果、攻撃者はTwitter内部のツールを用いて著名人を含む130アカウントを攻撃し、パスワードリセットに成功した45アカウントから詐欺目的のツイートを投稿した。DashlaneではTwitterがとった対策のうち、従業員全員にパスワードリセットを要求したことも1位に選ばれたポイントの一つに挙げている。

2位～10位は以下のとおり。昨年までは安易なパスワードを設定する有名人などもランキング入りしていたが、今年のランキングは顧客の情報が流出した企業や、多数のアカウント侵害が発生したサービスのユーザーなど、サイバー攻撃の被害者リストになっている。

• 2. Zoomユーザー: 他サービスで流出した認証情報と同じ組み合わせの認証情報を用いるアカウント50万件の認証情報がダークウェブで売られる
• 3. 格安航空会社 EasyJet: 2,000人分のクレジットカード情報を含む顧客900万人分の個人情報が流出
• 4. 信用情報サービス Experian: 顧客になりすました攻撃者に南アフリカ支社の職員が個人情報を渡してしまい、南アフリカの2,400万人と80万のビジネスに影響
• 5. ホテルチェーン Marriott: 従業員の認証情報が侵害され、新たに宿泊者520万人分の個人情報が流出
• 6. 任天堂ユーザー: 他サービスで流出したものを含む弱いパスワードを設定していたユーザーのアカウント30万件が不正アクセスを受ける
• 7. 食材キット Home Chef: ユーザー情報800万件がダークウェブで売られる
• 8. デートアプリ Zoosk: ユーザー情報3,000万件がダークウェブで売られる
• 9. 独立アーティスト向けマーケットプレース Minted: ユーザー情報500万件がダークウェブで売られる
• 10. デイトレーダー: 投資アプリ Robinhoodのユーザー数千人のアカウントが侵害され、資金が盗まれる

すべて読む | ITセクション | セキュリティ | Twitter | 情報漏洩 |

関連ストーリー：
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
ドナルド・トランプ米大統領の個人用Twitterアカウントに安易なパスワードが設定されていたとの報道、ホワイトハウスとTwitterは否定 2020年10月24日
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
ウォズ、無断で名前や外見を使用したビットコインプレゼント詐欺動画を放置したとしてYouTubeを訴える 2020年07月24日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
バイデン氏やイーロン・マスクなどのTwitterアカウント、まとめてハッキングされる 2020年07月16日
ニンテンドーネットワークIDへの不正アクセス、約30万件 2020年06月11日
ニンテンドーアカウントへの不正ログインが多発中？ 2020年04月23日
複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 2019年02月26日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
旅行関連サイトの多くが弱いパスワードを許可しているとの調査結果 2018年05月06日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日