毎週の恒例行事のようになってきたように、人気サービスQuoraがセキュリティ侵害の被害に遭い、ユーザーに影響が及んでいる可能性があると発表しました。いつものことながら、あなたの個人情報（またはログイン認証情報）の一部が、本来その情報を知るべきではない人の手に渡っている可能性があります。アカウントやオンラインライフを守るために、対策を講じることをお勧めします。

Quora にアカウントを作成したことがあるなら、知っておくべきことは次のとおりです。

今回ハッキングされたのは何でしょうか？

Quoraは、サービスに影響を与えた最近のセキュリティ侵害について、詳細情報を提供するため、メールを送信し、ブログを投稿しました。まず、Quoraは深くお詫び申し上げます。（だからといって、このプロセスが面倒なことに変わりはありませんが、まずは力強い謝罪から始めるのが賢明です。）

第二に、今回の侵害は約1億人のQuoraユーザーに影響を与えました。これは、過去数ヶ月間に出回っているいくつかの数字に基づくと、月間アクティブユーザーベースの約3分の1に相当します。第三に、Quoraは金曜日に発見したこの侵害について積極的に調査を行っており、これまでの調査結果は以下のとおりです。

「約1億人のQuoraユーザーについて、以下の情報が漏洩した可能性があります。

• アカウント情報（例：名前、メールアドレス、暗号化（ハッシュ化）されたパスワード、ユーザーの承認時にリンクされたネットワークからインポートされたデータ）

• 公開コンテンツとアクション（質問、回答、コメント、賛成票など）

• 非公開のコンテンツやアクション、例：回答リクエスト、反対票、ダイレクトメッセージ（Quoraユーザーのうち、このようなメッセージを送受信したことがある人は少ないことにご注意ください）

Quora は、この侵害におけるパスワードに関する部分を軽視しようとしており、後に「パスワードは暗号化（ユーザーごとに異なるソルトでハッシュ化）されていますが、複数のサービスで同じパスワードを再利用しないことが一般的にベストプラクティスです。複数のサービスで同じパスワードを再利用している場合は、パスワードの変更をお勧めします」とコメントしています。

しかし、もう少し心配すべき点があります。Quoraは、パスワードの暗号化にどのようなハッシュ関数を使ったのか詳細に説明しておらず、Ars TechnicaのDan Goodin氏は、これは非常に重大な欠落だと指摘しています。もしQuoraがより単純なアプローチを採用していたら、パスワードはそれほど保護されていなかったでしょう。Goodin氏はこう説明しています。

具体的なハッシュ関数は非常に重要です。MD5のような高速アルゴリズムを1万回未満の反復処理で暗号化ソルトなしで実行するハッシュ関数であれば、市販のハードウェアと公開されている単語リストを使うハッカーは、1～2日でパスワードハッシュの最大80%を解読できます。一方、bcryptのような関数は、ハッシュの大部分が平文に変換されるのを防ぐことができます。

少なくとも、今回の侵害がQuoraに投稿した匿名の質問や回答に影響を与えなかったという事実は、慰めになるでしょう。Quoraはこれらの情報をあなたのアカウントと一切関連付けていないようです。

次に何をすべきでしょうか?

Quoraは、今回の侵害の影響を受けた可能性のある方々にメールを送信しています。メールを受け取っていなくても、このような状況はオンラインセキュリティの設定を見直す絶好の機会です。例えば、以下のような状況です。

Quora で使用したパスワードを他のサイトやサービスでも使用しましたか?

そんなことはやめましょう。分かっています、分かっています。私もそうしたことがありました。でも、パスワード管理ツールを使えば、利用するサイトやサービスごとに、長くて複雑で、そして何よりもユニークなパスワードを簡単に作成できるので、複数のサイトで同じパスワードを使い回す理由はありません。パスワード作成に真剣に取り組んでも、こうした侵害を完全に防ぐことはできませんが、その影響は大幅に軽減されるでしょう。

2 要素認証または 2 段階認証を使用していますか?

誰かがあなたになりすましてログインしようとした場合、優れたサイトやサービスでは、新しいログインを検知したという警告が表示され、本人でない場合は対処が必要になる可能性があります。さらに優れたサイトやサービスでは、二次的な認証方法（テキストメッセージ、認証プロンプト、ソフトウェアトークンまたはハードウェアトークンから読み取る番号など）の入力を求められます。アクセスするには、パスワードに加えて、これらの認証も入力する必要があります。ログインする様々なものに2要素認証を設定していない場合は、それがオプションとして用意されているかどうかを確認してください。もし設定されている場合、使用しないことはあなた自身にとって不利益となるだけです。

休眠アカウントは多数ありますか?

私はQuoraのヘビーユーザーではありません。実際、質問したり回答したりしてから随分経っているので、最後にログインしたのはいつだったかさえ覚えていません。しかし、アカウントは持っているので、「あなたはひどい目に遭うかもしれません」というメールを受け取ったことで、その事実を思い出しました。

強力で固有のパスワードと二要素認証は、お気に入りのウェブサイトやサービスがハッキングされた後でもセキュリティを維持するのに大いに役立ちますが、以前は利用していたけれど今は利用していないサービスについても忘れてはいけません。Quora（あるいはFacebook、Twitterなど）をもう利用していないなら、アカウントを削除しましょう。

将来の侵害で古い情報が掘り出されないという保証はありませんが、もう使用していないアカウントを削除すれば、情報の漏洩を防げる可能性が高まります。

メールをたくさん無視していませんか?

Quoraは影響を受けたユーザーへの通知をまずメールで行いました。大規模なセキュリティ侵害に関する追加情報についても、メールでユーザーに知らせるのは当然のことです。私たちは皆、大量のメールを受け取っていますが、「セキュリティ」「アカウント」「侵害」といった単語でフィルターを設定しておくと、次回の大規模な侵害に関するメールを見逃す可能性が低くなります。