ウィキメディア財団/2025年3月のアカウント侵害発見

This page is a translated version of the page Wikimedia Foundation/March 2025 discovery of account compromises and the translation is 100% complete.

ウィキメディア財団（以下 WMF）は最近、ボランティアの役務者の皆さんの協力を得て、登録済みアカウントへの異常なログインのパターンを特定しました。調査の結果、役務者と職員がグローバル・ロックしたアカウントは3万5893件であり、当該の利用者は強制ログアウトの結果、再ログインできない状態です。あなたのアカウントにメール・アドレスを関連付けてあり影響が及んだ場合は、privacy@wikimedia.org 発信のメールが1本届いて、そこに推奨される次のステップが案内されていたはずです。

保安担当ならびに技術担当のチームが検出した全情報に基づくと、ここに述べる不正な活動とは複数利用者の複数パスワードが侵害された結果であって、可能性が高いのは、いずれかのウェブサイトがすでに侵害されていて利用者がそこでパスワードを使いまわしたため、もしくは侵害された端末機器を使ってウィキメディアのプロジェクト群にログインしたためと見ています。これにより残念ながら「クレデンシャル・スタッフィング」（credential stuffing＝証明の水増し）という頻発する攻撃が可能になり、悪意のある人物が盗まれた利用者名とパスワードを見つけ、同一の利用者名もしくはメールアカウントを採用する別のウェブサイトで、その同じ組み合わせを使おうとします。影響を受けたアカウントがロックされるまで、そのアカウント情報（プロファイル設定として紐づけてあるメールアドレスやタイムゾーンその他）は攻撃者のアクセスが可能だったのです。

現時点では、ウィキメディアのシステム自体が侵害の誘因であると信じる根拠も、あるいはまた、標的にされたのが特定の利用者もしくは利用者グループ、もしくは特定のコミュニティだったという証拠もありません。当該のアカウントのほとんどは活動停止中もしくは活動が低率で – 影響を受けた利用者アカウントのうち、登録後の通算編集回数が100 回超のアカウントはわずか 2 %程度でした。現在も調査中ですが、侵害されたアカウントによる悪意のある重大な編集活動の証拠はこれまでに確認されておらず、現時点ではウィキメディアはコンテンツの完全性に影響が及んだとは考えておりません。

ウィキメディア利用者に向けた次のステップ

第一に、この事件によって直接に影響が及んだ利用者の皆さんには、オンラインの別のアカウントでも同じパスワードを使ってきたなら、直ちにパスワードを変更するようお勧めします。一般論としては、利用者の皆さん全員、アカウントを作ったどのウェブサイトでもそこ限定のパスワードを使うことをお勧めしており、それには広く普及したパスワード・マネージャーというものが役立つとお伝えしておきます。

ウィキメディアのアカウント類はメールアドレスの設定が必須ではありませんが、それがないと、私たちの能力は非常に限定的であり、侵害されたアカウントのアクセス回復に対応できません。ウィキメディアのアカウントに対して、通常は確認済みのメールアドレス設定をお勧めしています。パスワードの方針をご一読の上、ウィキメディアにおけるアカウントのパスワード要件と最善手法の詳細をご確認ください。

ボランティアの役務者の皆さんには、この事件に関して迅速な対応にご協力いただき感謝しています。財団では、今後このような事件が発生しないよう特定し予防する取り組みを継続しており、その一環として、ウィキメディアの利用者アカウントに追加のセキュリティ保護を実装しているところです。関連する議論に気づいた場合は皆さんにメタウィキの当ページと、質問の投稿先としてそのトークページをご案内いただけないでしょうか。

近々、この取り組みの詳細を私どもより共有するつもりです。よろしくお願いします。

更新情報

(21:17, 28 March 2025 (UTC)) 上述に関して用語を更新し、侵害されたWebサイトに限定せず、侵害された端末機器が攻撃に寄与する可能性も対照しました。目下、アカウントごとの活動評価は進行中であり、悪意のある編集を「全く」探さなかったわけではなく、「有意な」兆候は今のところは見当たらないと認定しました。改訂による変更は、ページ履歴（比較リンク）で確認してください。