piyolog

Yahoo Japanで相次いで発生した不正アクセスについてまとめてみた

インシデントまとめ | 01:21 |

4月2日、そして5月16日にYahoo Japanのサーバーに対し不正なアクセスが行われたことをYahoo Japanがそれぞれ後日に発表しました。ここではメディア等の情報を元に不正アクセスインシデントについてまとめます。

相次ぎ発生したYahoo Japanへの不正アクセスインシデントの概要

　3月から4月にかけ不正ログインを試みるアクセスが行われたことを多くの組織が発表しましたが、同時期にYahoo Japanでは同社が管理するサーバーへ不正アクセスが行われ、IDやパスワードなどの情報を抽出してファイルを作成する不審なプログラムが動いていたことを発表しました。そして、それから1ヶ月半近くが経過した5月半ばに顧客情報を抽出したファイルが作成されるといった似たような手口による不正アクセスインシデントが発生したことを報告しました。なお、この2件のインシデントの関連性については明らかになっていません。

2013年4月2日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて

　このたび、当社が運営するポータルサイト「Yahoo! JAPAN」（以下、「本サイト」）を管理しているシステムへの不正なアクセスが検知されましたが、情報が外部に送られる前に不正なプログラムを強制停止し、不正なアクセスを遮断しましたので、ご報告いたします。

　現在時点で判明している不正なアクセスの概要については、下記のとおりです。

http://pr.yahoo.co.jp/release/2013/0404a.html

• 被害状況
  • 被害台数：管理サーバー（他被害があったかは不明）
  • 発覚時期：2013年4月2日 21時10分頃
  • 被害内容：管理サーバー内で不審なプログラムが稼働し、顧客情報データをファイルに抽出していた。
  • 漏えいの有無：Yahoo Japanは不審なプログラムにより作成されたデータファイルが持ち出された事実はなしとの判断
  • 発覚した経緯：Yahoo Japanが行っているシステム監視対策によるもの
  • 不正アクセス元：特定できていない
  • 原因：サーバーへアクセスするためのIDやパスワードが漏れた可能性

• 発覚後の対応
  • 不審なプログラムを強制停止
  • 同様の手口による不正アクセス防止策を実施

• 確認された不審なプログラムの動作
  • Yahoo Japanの管理サーバー(詳細不明)より、データを抽出しファイルを作成。
  • サーバー内で不審なプログラムを確認。ただし、具体的な情報は当時調査中として非公開。*1
  • 外部へ送信する機能が存在したかは不明。

• 抽出していた情報
  • 件数：約127万件（強制停止時点）
  • 抽出データ
    • ユーザー名(ID)
    • 不可逆暗号化(ハッシュ化)されたパスワード
    • 登録メールアドレス
    • パスワードを忘れてしまった場合の再設定に必要な情報(秘密の質問とその答え)

2013年5月16日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて

　5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。

http://pr.yahoo.co.jp/release/2013/0517a.html

「当社サーバへの不正なアクセスについて」（5/17発表）の追加発表

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID（Yahoo! JAPAN総ID数 約2億）のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

http://pr.yahoo.co.jp/release/2013/0523a.html

• 被害状況
  • 被害台数：管理サーバー（他被害があったかは不明）
  • 発覚時期：2013年5月16日 21時分頃
  • 被害内容：管理サーバーへの不正なアクセスを検知し、これを調査したところ顧客情報データ(IDのみ)を抽出したファイルがサーバー内に作成されていることを確認した。
  • 漏えいの有無：サーバーと外部との通信量(大量に上っている)から漏えいの可能性は否定できず。*2 *3
  • 発覚した経緯：4月2日の件を受けて監視体制を強化したことによるもの
  • 不正アクセス元：特に発表、報道等で言及なし
  • 原因：4月2日の件を受けてサーバーへのアクセス権限を持つ社員のパスワードを変更中であったが、これを終える前に不正アクセスを受けた。*4

• 発覚後の対応
  • もっと安全ガイドへのリンクをお詫びページに掲載
  • 何らかのアクセスを遮断*5
  • 流出した可能性のあるIDに自分が該当するかを確認できるページを設置

• 抽出していた情報
  • 件数：
    　ID最大2200万件（全体の約１０％、Yahoo Japanの総IDは2億件）*6
    　パスワードハッシュ・秘密の質問と回答 約148.6万件
  • IDを抽出したファイルはサーバーから取り出せる状態になっていた。*7
  • その後の調査により同一犯別アプローチによるパスワードハッシュ、秘密の質問・回答の情報が漏えいした可能性が高いことを確認した。*8
  • 情報が抽出された方法は明らかになっていない。
  • 抽出データ
    • ユーザー名(ID)
      (補足)Yahoo! Japanのログインに使用できるIDは「Yahoo! JAPAN ID」「ニックネーム」「シークレットID」「登録メールアドレス」の4つがあります。今回漏えいした可能性のあるIDがどれかについては、「Yahoo! JAPAN IDを管理しているサーバー」というキーワードがプレス文にあることと、「確認ページ」で表示されるIDがYahoo! Japan IDであることから恐らく「Yahoo! JAPAN ID」が抽出されていたと思われます。*9
    • 不可逆暗号化(ハッシュ化)されたパスワード
    • パスワードを忘れてしまった場合の再設定に必要な情報(秘密の質問とその答え)

不正アクセスの対象に含まれるかを確認するページ

Yahoo Japanは5月18日に5月16日検知の不正アクセスの最大2200万件に含まれるかをユーザーで確認することが出来る専用ページを設置しました。下記ページで結果欄に対象に含まれるかが表示されます。

• Yahoo! JAPAN IDの状況確認（要ログイン）

残念ながら私のIDは対象外であったため、「対象ではありません。」とのみ表示されていますが、対象に含まれていた人の情報によれば、「対象のYahoo! JAPAN IDです。念のためパスワード変更をお勧めします。」と表示され、パスワードの変更を促されます。今回の不正アクセスの対象に含まれるIDであってもYahoo Japan側でパスワードリセットの措置は行われないようです。これはYahoo Japanが5月16日に確認した、ユーザー情報を抽出したファイルに含まれる内容がIDのみであり、「IDだけではログインできない」という判断によるものと思われます。

尚、このページで確認できるのは自分のIDがYahoo Japanが5月16日に確認した最大2200万件のIDリストに該当するかどうかであり、自分の情報が不正アクセスを受けていないことを確約するものではないことに注意しなくてはなりません。Yahoo Japanの推奨する方法などを参考に、対象かどうかに惑わされず、これを機会に自衛手段を見直し、必要に応じて対策を講じましょう。

　

(追記)

その後の調査により、最大2200万件のIDの内、約148.6万件でパスワードハッシュ、及び秘密の質問とその答えが流出した可能性が高いことがYahoo Japanにより報告されました。報道によればYahoo Japanは「暗号化されたパスワードを解読するのは困難」であり、これらの情報が漏えいして使われたとしても「ログインすることは出来ない」と発表しているようです。

不可逆暗号化されたパスワードとはハッシュ化した文字列を指していると考えられますが、場合*10によってはハッシュ化された文字列から元のパスワードを解読することも可能です。Yahoo Japanはこの件を受けて5月24日早朝に対象IDのパスワードリセットを実行すると発表していますが、他サイトで同じID・パスワードを使いまわしている場合はパスワードを変更しましょう。

尚、どのようにハッシュ化を行っていたかについては解読される可能性を考慮して公表しない方針とのことです。*11

　

IDが漏えいすることによるリスク

Yahoo JapanのIDが漏えいしていた場合、次のようなリスクが考えられます。

(1)ID漏えいした人にスパムメール、フィッシングメールが送られる

Yahoo!メールは「Yahoo! JAPAN ID」+「@yahoo.co.jp」といった形式でメールアドレスが既定で払い出されます。そのため、今回のIDリストがブラックマーケットで取引される、インターネット上に公開される等を通じてSPAM業者の手に渡った場合、この形式にもとづき作られたメールアドレスに対してスパムメールが送信される可能性があります。またパスワードの変更を促すような内容のID・パスワードの窃取を狙ったフィッシングメールが送られる可能性もあります。

万一スパムメールが受け取ることになった場合は迷惑メールフィルタ等のフィルタリング機能をまずは利用し、それでも解決が困難な場合はメールアドレスの変更を検討しましょう。

• 迷惑メールフィルターとは
• 迷惑メールフィルターの設定・解除
• なりすましメール拒否について
• 受信拒否とは
• メールアドレスの変更

　

(2)ID漏えいした人がリバースブルートフォースを受ける

Yahoo! JAPAN IDはサービス上で公開される情報ですが、Yahoo! JAPAN IDを検索する機能は現在提供されていません。(過去にはIDを検索する機能が提供されていたようです。) 外部サービスで検索*12したり、プロフィール画面のURL末尾にIDを打ち込むことで入力したIDが存在するかどうかを確認することは出来ますが、多数のIDリストの入手を目標としているのであればかなりの手間になります。しかし今回の件は、これら手間を省き、効率的に確実に存在するIDリストを入手された可能性があります。

Yahoo Japanのサービスにログインするにはさらにパスワードが必要となりますが、ありがちな文字列を使う等強度の弱いパスワード設定をしているユーザーを狙ってリバースブルートフォースが行われる可能性が考えられます。Yahoo Japanの場合、ログインにある程度失敗すると画像認証が要求される*13ため、不正ログイン目的で総当たりを仕掛けるのであれば1つIDに対して複数回試行するよりも、このリストを使って複数IDに対して1回のみのログイン試行を行う方が攻撃者にとっては効率的です。

リバースブルートフォースについては辻さんの記事が詳しいです。

• ブルートフォース攻撃について考えてみました。 - (n)
• セキュリティ・ダークナイト（5）：リアリティはないけど、脅威は確かにいるよ (4/5)

　

Yahoo! Japanではログインに利用するIDをYahoo! JAPAN IDから任意のIDへ変更することが可能です。当該機能はシークレットIDと呼ばれ、Yahoo Japanの各ページでも紹介されています。シークレットID利用時は、Yahoo! JapanIDを利用してログインすることは出来ないため、IDリストに基づいて行われるリバースブルートフォースにより不正ログインを受けることはありません。

少なくとも確認ページで対象として表示されたユーザーはワンタイムパスワードの利用やシークレットIDでログインIDを変更すべきでしょう。

• ログイン時に使用するIDとは
• シークレットIDとは
• シークレットIDを登録する

ただし、リバースブルートフォースは今回のYahoo! Japanのサービスに限ったものではなく、Yahoo! JAPAN ID（またはその形式にのっとって払い出されたYahoo!メールアドレス)と同じ文字列を別サービスでログインIDとして使っている場合に同様の不正ログインの試行を受ける可能性があります。サービスによって利用できる不正アクセス対策の機能は異なりますが、二要素認証の利用やログインIDの変更を検討しましょう。

時系列まとめ

• 2013/04/02
  • Yahoo Japanの管理サーバーが不正アクセスを受け、不審なプログラムが稼働していることを確認。
• 2013/04/04
  • 不正アクセスを受けた事実について発表。
• 2013/05/16
  • 再び不正アクセスを受け、IDを抽出したファイルが作成、及び大量の通信が行われていたことを確認。
• 2013/05/17
  • 再び不正アクセスを受けた事実について発表。
• 2013/05/18
  • 5/16の件で自分が対象に含まれるかを確認するページを公開。
• 2013/05/24
  • 5/16の件でその後の調査によりパスワードハッシュ、秘密の質問とその答えも漏えいした可能性が高いことを発表。

更新履歴

• 2013/05/18 AM 新規作成
• 2013/05/18 PM 最新情報を反映
• 2013/05/19 AM 件数について表現(約→最大)修正、リスクについて加筆
• 2013/05/24 AM パスワードハッシュ他漏えいの件を受け更新

ツイートする