Yahooによればこの漏洩で「少なくとも5億人のユーザーの個人情報に影響が及んだ」とされる。 同社によれば、情報窃取が行われたのは2014年で、犯人は「国家の支援を受けたグループ」だとされる。盗まれた情報にはユーザー氏名、メールアドレス、電話番号、生年月日、パスワード(大部分はbcryptによって暗号化ずみ)だ。また一部のケースではセキュリティー質問とその答えが漏洩している(暗号化されている場合もされていない場合もあるという)。
これはデータ漏洩史上もっとも大掛かりで悪質なケースだ。犯人が国家的支援を疑われているだけでなく、窃取された個人情報の規模も内容も深刻な影響が懸念される。
2段階認証が設定されていない場合、セキュリティー質問とその答えが平文で得られればハッカーはさまざまなパスワード保護の仕組みをスキップして自由に新しいパスワードを設定できる。
Yahooでは暗号化されていなかったセキュリティー質問とその答えをすべて無効にしたという。しかしユーザーはこうした質問と答えをさまざまなサイトで使いまわしているというのが現実だ。
ただし、Yahooによれば、犯人は保護されていないパスワード・ファイルへのアクセスには失敗している。またクレジットカード情報、銀行口座などの支払情報も漏洩していない。これらは今回漏洩が確認されたのとは全く別のシステムに保管されていた。
今日の午前11時30分(太平洋時間)から、Yahooは影響を受けたユーザーにメールによる通知を開始した。このメールでYahooはパスワードの変更と新たな認証方法の追加を求めている。また2014年以来パスワードを変更していないユーザーに新たなパスワードを設定するよう求めている。
以下にエンベッドしたのはYahoo USがユーザーに送付したメールの内容だ。
Yahooは今回の漏洩で影響を受けなかったユーザーもYahoo Account Keyという新たな認証ツールを採用するよう強く勧めている。
Yahooはこの件に関して捜査当局と協力していると述べた。いわゆる「国家的支援を受けた攻撃者グループ」が現在同社のネットワークに侵入している証拠は見出されていないが、捜査は継続されている。
こうした大規模な漏洩が起きた場合、他のハッカーも「尻馬に乗って利益を得る」ことを図るのが通例だ。
ユーザーはフィッシング・メールによる攻撃を頻繁に受けることになる。こうしたメールはパスワードのリセットを助ける振りをしているが、リンクをクリックするとパスワードを含む個人情報を盗み取ることを目的とする偽サイトにリダイレクトされることになる。Yahooはユーザーがこうした悪質なメールに警戒するよう呼びかけている。ユーザー側からの要求なしに勝手に送りつけられてきたメールに含まれるリンクををクリックしたり、メールに返信したりするのは非常に危険だ。
データ漏洩に対する疑問に関してはYahooがこちらにヘルプページを開設している。 https://yahoo.com/security-update.
ただしQ&Aには「ハッシュされたパスワードとはどういう意味ですか?」といった基礎的な知識が掲載されているだけでデータ漏洩のそのものに関する情報は少ない。なおQ&AはTumblrのユーザーアカウントは今回の漏洩の影響を受けていないとしている。【略】
アップデート:
以下はFBの声明。「FBIは漏洩の事実を承知している」とある。
Verizon PRの声明によると、Verizonがこの漏洩問題を知ったのは2日前だという。
[原文へ]
(翻訳:滑川海彦@FacebookGoogle+)
(2016年9月23日TechCrunch日本版「米Yahoo、国家に支援された攻撃により個人情報5億人分がリークと確認」より転載)
【関連記事】