(cache) Yahoo Japanで相次いで発生した不正アクセスについてまとめてみた

4月2日、そして5月16日にYahoo Japanのサーバーに対し不正なアクセスが行われたことをYahoo Japanが発表しました。ここではメディア等の情報を元に不正アクセスインシデントについてまとめます。

相次ぎ発生したYahoo Japanへの不正アクセスインシデントの概要

　3月から4月にかけ不正ログインを試みるアクセスが行われたことを多くの組織が発表しましたが、同時期にYahoo Japanでは同社が管理するサーバーへ不正アクセスが行われ、IDやパスワードなどの情報を抽出してファイルを作成する不審なプログラムが動いていたことを発表しました。そして、それから1ヶ月半近くが経過した5月半ばに顧客情報を抽出したファイルが作成されるといった似たような手口による不正アクセスインシデントが発生したことを報告しました。なお、この2件のインシデントの関連性については明らかになっていません。

2013年4月2日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて

　このたび、当社が運営するポータルサイト「Yahoo! JAPAN」（以下、「本サイト」）を管理しているシステムへの不正なアクセスが検知されましたが、情報が外部に送られる前に不正なプログラムを強制停止し、不正なアクセスを遮断しましたので、ご報告いたします。

　現在時点で判明している不正なアクセスの概要については、下記のとおりです。
http://pr.yahoo.co.jp/release/2013/0404a.html

被害状況
- 被害台数：管理サーバー（他被害があったかは不明）
- 発覚時期：2013年4月2日 21時10分頃
- 被害内容：管理サーバー内で不審なプログラムが稼働し、顧客情報データをファイルに抽出していた。
- 漏えいの有無：Yahoo Japanは不審なプログラムにより作成されたデータファイルが持ち出された事実はなしとの判断
- 発覚した経緯：Yahoo Japanが行っているシステム監視対策によるもの
- 不正アクセス元：特定できていない
- 原因：サーバーへアクセスするためのIDやパスワードが漏れた可能性

発覚後の対応
- 不審なプログラムを強制停止
- 同様の手口による不正アクセス防止策を実施

確認された不審なプログラムの動作
- Yahoo Japanの管理サーバー(詳細不明)より、データを抽出しファイルを作成。
- サーバー内で不審なプログラムを確認。ただし、具体的な情報は当時調査中として非公開。*1
- 外部へ送信する機能が存在したかは不明。

抽出していた情報
- 件数：約127万件（強制停止時点）
- 抽出データ
  - ユーザー名(ID)
  - 不可逆暗号化(ハッシュ化)されたパスワード
  - 登録メールアドレス
  - パスワードを忘れてしまった場合の再設定に必要な情報*2

2013年5月16日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて

　5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。
http://pr.yahoo.co.jp/release/2013/0517a.html

被害状況
- 被害台数：管理サーバー（他被害があったかは不明）
- 発覚時期：2013年5月16日 21時分頃
- 被害内容：管理サーバーへの不正なアクセスを検知し、これを調査したところ顧客情報データ(IDのみ)を抽出したファイルがサーバー内に作成されていることを確認した。
- 漏えいの有無：サーバーと外部との通信量(大量に上っている)から漏えいの可能性は否定できず。*3 *4
- 発覚した経緯：4月2日の件を受けて監視体制を強化したことによるもの
- 不正アクセス元：特に発表、報道等で言及なし
- 原因：4月2日の件を受けてサーバーへのアクセス権限を持つ社員のパスワードを変更中であったが、これを終える前に不正アクセスを受けた。*5

発覚後の対応
- もっと安全ガイドへのリンクをお詫びページに掲載
- 何らかのアクセスを遮断*6
- 流出した可能性のあるIDに自分が該当するかを確認できるページを設置

抽出していた情報
- 件数：約2200万件（全体の約１０％、Yahoo Japanの総IDは2億件）*7
- ファイルはサーバーから取り出せる状態になっていた。*8
- 情報が抽出された方法は明らかになっていない。
- 抽出データ
  - ユーザー名(ID)
    (補足)Yahoo! Japanのログインに使用できるIDは「Yahoo! JAPAN ID」「ニックネーム」「シークレットID」「登録メールアドレス」の4つがあります。今回漏えいした可能性のあるIDがどれかについては、「Yahoo! JAPAN IDを管理しているサーバー」というキーワードがプレス文にあることと、「確認ページ」で表示されるIDがYahoo! Japan IDであることから恐らく「Yahoo! JAPAN ID」が抽出されていたと思われます。*9

不正アクセスの対象に含まれるかを確認するページ

Yahoo Japanは5月18日に5月16日検知の不正アクセスの約2200万件に含まれるかをユーザーで確認することが出来る専用ページを設置しました。下記ページで結果欄に対象に含まれるかが表示されます。

Yahoo! JAPAN IDの状況確認（要ログイン）

残念ながら私のIDは対象外であったため、「対象ではありません。」とのみ表示されていますが、対象に含まれていた人の情報によれば、「対象のYahoo! JAPAN IDです。念のためパスワード変更をお勧めします。」と表示され、パスワードの変更を促されます。今回の不正アクセスの対象に含まれるIDであってもYahoo Japan側でパスワードリセットの措置は行われないようです。これはYahoo Japanが5月16日に確認した、ユーザー情報を抽出したファイルに含まれる内容がIDのみであり、「IDだけではログインできない」という判断によるものと思われます。

対象のYahoo! Japan IDです＼(^o^)／ URL

2013-05-18 08:07:42 via TweetList Pro

尚、このページで確認できるのは自分のIDがYahoo Japanが5月16日に確認した約2200万件のIDリストに該当するかどうかであり、自分の情報が不正アクセスを受けていないことを確約するものではないことに注意しなくてはなりません。Yahoo Japanの推奨する方法などを参考に、対象かどうかに惑わされず、これを機会に自衛手段を見直し、必要に応じて対策を講じましょう。

IDが漏えいすることによるリスク

Yahoo JapanのIDが漏えいしていた場合、次のようなリスクが考えられます。

ID漏えいした人にスパムメールが送られる

Yahoo!メールは「Yahoo! JAPAN ID」+「@yahoo.co.jp」といった形式でメールアドレスが既定で払い出されます。そのため、今回のIDリストがブラックマーケットで取引される、インターネット上に公開される等を通じてSPAM業者の手に渡った場合、この形式にもとづき作られたメールアドレスに対してスパムメールが送信される可能性があります。

万一スパムメールが受け取ることになった場合は迷惑メールフィルタ等のフィルタリング機能をまずは利用し、それでも解決が困難な場合はメールアドレスの変更を検討しましょう。

ID漏えいした人がリバースブルートフォースを受ける

Yahoo! JAPAN IDはサービス上で公開される情報ですが、Yahoo! JAPAN IDを検索する機能は現在提供されていません。(過去にはIDを検索する機能が提供されていたようです。) 外部サービスで検索*10したり、プロフィール画面のURL末尾にIDを打ち込むことで入力したIDが存在するかどうかを確認することは出来ますが、多数のIDリストの入手を目標としているのであればかなりの手間になります。しかし今回の件は、これら手間を省き、効率的に確実に存在するIDリストを入手された可能性があります。

Yahoo Japanのサービスにログインするにはさらにパスワードが必要となりますが、ありがちな文字列を使う等強度の弱いパスワード設定をしているユーザーを狙ってリバースブルートフォースが行われる可能性が考えられます。Yahoo Japanの場合、ログインにある程度失敗すると画像認証が要求される*11ため、ブルートフォースをするのであれば1つIDに対して複数回試行するよりも複数IDに対して1回のみのログイン試行をリストに基づいて行う方が効率的です。

リバースブルートフォースについては辻さんの記事が詳しいです。

Yahoo! Japanではログインに利用するIDをYahoo! JAPAN IDから任意のIDへ変更することが可能です。当該機能はシークレットIDと呼ばれ、Yahoo Japanの各ページでも紹介されています。シークレットID利用時は、Yahoo! JapanIDを利用してログインすることは出来ないため、IDリストに基づいて行われるリバースブルートフォースにより不正ログインを受けることはありません。

少なくとも確認ページで対象として表示されたユーザーはワンタイムパスワードの利用やシークレットIDでログインIDを変更すべきでしょう。

ただし、リバースブルートフォースは今回のYahoo! Japanのサービスに限ったものではなく、Yahoo! JAPAN ID（またはその形式にのっとって払い出されたYahoo!メールアドレス)と同じ文字列を別サービスでログインIDとして使っている場合に同様の不正ログインの試行を受ける可能性があります。サービスによって利用できる不正アクセス対策の機能は異なりますが、二要素認証の利用やログインIDの変更を検討しましょう。