シトリックスは、顧客にSharefileサービスのパスワードをリセットするよう要請した後、慌てる必要はないと述べている。
ファイル共有サービス「Slack」は、ユーザーにパスワードの定期的な変更を求めると発表し、新月を迎えました。この新しいポリシーは今週から適用され、全ユーザーにパスワードの再設定が求められます。
Citrixによると、同社はハッキングを受けていないという。むしろ、侵害を受けたウェブサイトやサービスからユーザー名とパスワードを盗み出し、それらの情報を使って同じ認証情報を使用するSharefileアカウントにアクセスしようとするハッカーに先手を打つことを目指している。
「インターネットアカウントの認証情報(ユーザー名とパスワード)の盗難が継続的に増加しています。同じ認証情報が他のアカウントへのアクセスに悪用されることも少なくありません」とCitrixは新ポリシーの発表で述べた。
「これを受けて、当社はパスワードのリセットを義務付けており、定期的な強制パスワードリセットを通常の運用手順に組み込む予定です。」
Citrix は週末にステータス ページに新しいポリシーを掲載しましたが、多くの顧客はそのニュースを受け取っておらず、月曜日にリセット要求が表示されたとき、何かがおかしいのではないかと当然ながら懸念しました。
「私の組織はCitrix Sharefileのユーザーですが、全ユーザーのアカウントがロックされ、パスワードリセットが発行されました」と、あるReg読者は書いています。「このような事態が発生するという警告は一切ありませんでした。」
別のReg読者は、Citrix による新しいポリシーの提示と展開は同社にとって何の利益にもなっていないと指摘しています。
「ログイン画面に何もメッセージが表示されなかったため、ロックアウトされたと思っているユーザーが複数います」と情報提供者は説明しています。「メールがスパムっぽく見えて、困った状況です。」
Reddit の r/sysadmin コミュニティのユーザーも同様に、関係するクライアントやエンドユーザーに対処しなければならない管理者に対して、なぜこれほどの警告や説明もないままリセットが実行されたのかと困惑していた。
「レガシーなものを無理やり押し込んだだけ」:Citrixのクラウドに満足していない人もいる
続きを読む
Citrixは、今後ユーザーにパスワードの変更を義務付ける頻度については言及しなかったが、広報担当者はEl Regに対し、リセットは「定期的に」行われ、「定期的にリセットされる」こと、そして「進化する脅威の状況に関する当社の評価に基づいて」行われることのみを伝えた。
しかし、過去の調査結果が示唆するところによると、強制リセットは慎重に行うのが賢明だろう。2016年にFTCは、パスワードの定期的な変更を義務付けられているユーザーは、脆弱なパスワードを選択しがちで、定期的なリセットの潜在的なメリットが打ち消されてしまうことを明らかにした。
FTCの主任技術者ロリー・クレイナー氏は「パスワードの変更を求められているユーザーは、まず弱いパスワードを選択し、その後、攻撃者が容易に推測できるような予測可能な方法でパスワードを変更することが多いことを示唆する証拠はたくさんある」と述べた。
「パスワードが漏洩または共有されたと信じる理由がない限り、定期的なパスワード変更を要求することは、場合によってはメリットよりもデメリットをもたらす可能性があります。」®
