【ご報告】AOLメールのセキュリティ問題に関する調査について


お客様各位

AOLオンライン・ジャパン株式会社の親会社であるAOL Inc.は、2014年4月28日、AOLのネットワーク及びシステムへの不正アクセスが絡むセキュリティ問題を調査していることを発表いたしました。AOLはこの深刻な犯罪行為を調査するため、トップクラスの外部のフォレンジック専門家や米国連邦当局と協力しています。

AOLの調査は、AOLのメールアドレスからの「なりすましメール」としてのスパムらしきメールの量が大幅に増加した後、直ちに開始されました。なりすましとは、スパムメール発信者が使用している手法で、受信者に受信したメールを開封させるために、そのメールの送信元があたかも受信者の知っているメールユーザーであるかのように見せかける手法です。これらのメールは、表示上の送信者のメール又はメールサービスプロバイダーから送信されているのではなく、 単に表示上の送信者が送信元であるかのように表示されるように偽装されているものです。

AOLの調査は未だ継続しておりますが、AOLは、多くのユーザーアカウントに関する情報への不正アクセスがあったと判断いたしました。この情報には、AOLユーザーのメールアドレス、住所、アドレス帳の連絡先、暗号化されたパスワード及びお客様がパスワードをリセットする際にAOLが質問する「秘密のQ&A」に対する答えに対する暗号化された答え並びに従業員情報が含まれていました。AOLは、スパムメール発信者がこれらの連絡先情報を利用して、なりすましメールを送信したものと考えています。被害件数は、AOLのメールアカウント総数のおおよそ約2%程度と見込んでおります。

重要な点として、パスワードや「秘密のQ&A」に対する答えの暗号が破られたという兆候は示されておりません。また、現時点までの調査よれば、この件が、完全に暗号化されているデビットカードやクレジットカード等のお客様の金融情報の開示をもたらしたという兆候もありません。

パスワードや「秘密のQ&A」に対する答えの暗号が破られたという兆候はありませんが、予防対策として、お客様及び従業員にはAOLサービスに使われているパスワードのリセットを行い、その際に「秘密のQ&A」に対する答えについても変更することを強く推奨いたします。

AOLは、お客様のセキュリティに関して可能な限り透明性を保つよう開示を心掛けております。お客様におかれましても、本件につきご質問等があるかと存じます。以下は本件に関してお寄せいただいたよくあるご質問に対する回答です。


FAQs(よくある質問)

何があったのですか

これまでの調査に基づき、AOLは、多くのユーザーアカウントに関する情報への不正アクセスがあったと判断いたしました。この情報には、AOLユーザーのメールアドレス、住所、アドレス帳の連絡先情報、暗号化されたパスワード及びユーザーがパスワードをリセットする際にAOLが質問する「秘密のQ&A」に対する暗号化された答え並びに従業員情報が含まれていました。AOLは、スパムメール発信者がこれらの連絡先情報を利用して、なりすましメールを送信したものと考えています。被害件数は、AOLのメールアカウント総数のおおよそ約2%程度と見込んでおります。


どうして本件が起きたのですか

まだ調査が継続しておりますが、ユーザー情報が保存されているAOLネットワークに何者かが不正アクセスしたと考えております。


具体的に何にアクセスされ、何が盗まれたのですか

これまでの調査によれば、メールアドレス、住所、(AOLメールのアドレス帳に保存されている)連絡先情報、暗号化されたアカウントパスワード及びお客様がパスワードをリセットする際にAOLが質問する「秘密のQ&A」に対する暗号化された答えについて不正アクセスがあったと判断いたしました。

但し、重要な点として、パスワードや質問する「秘密のQ&A」に対する答えの暗号が破られたという兆候は示されていません。また、現時点までの調査よれば、この件が、完全に暗号化されているデビットカードやクレジットカード等のお客様の金融情報の開示をもたらしたという兆候もありません。


いつ起こったのですか

まだ調査が継続しており、侵入者による不正アクセスがはっきりといつあったかは判明していません。


問題は解決されたのですか

AOLはユーザー情報への不正アクセスに対応すべく、また、お客様の連絡先情報の利用に起因するお客様に対する迷惑メールの数を減らすべく、様々な対策を講じています。

まだ調査は継続しておりますが、お客様に影響を与え得る進展があった場合には注意喚起させていただきます。


AOLは捜査当局と協力しているのですか

はい。


調査によって他にも何か発覚すると考えていますか

まだ調査は継続しておりますが、AOLは全てを公にし、透明性を保つこと、お客様に影響を与え得る進展が見られた場合には情報提供することに全力で取り組みます。


自分の情報が盗まれたかどうかはどうすればわかりますか

AOLは本件によって影響を受けた方々皆様にメールをお送りしているところです。


どうしてもっと早く通知されたかったのですか

AOLは、お客様のセキュリティに関して可能な限り透明性を保つよう開示を心掛けております。AOLは、この問題が発覚した後、影響を受けたユーザーの範囲を可能な限り早急に判別するために直ちに調査を開始いたしました。そして、その直後の2014年4月22日にはなりすまし問題の影響に対処するための保護措置を講じ、その措置についてblog.aol.comへの投稿でお客様に通知を行いました。また、2014年4月28日には更なる情報を提供しております。

AOLは、AOLメールに関してお客様に影響を与え得る問題については、可能な限り透明性を保ちたいと考えております。最新情報については定期的にブログ(blog.aol.com)をご確認下さい。


AOLは私のアカウントを保護するために何を行っているのですか

ユーザーアカウントを保護するため、AOLは様々な対策を講じております。また、AOLはパスワード、「秘密のQ&A」及びその答え(パスワードのリセットの際に利用されるもの)をaccount.aol.comにて変更することを強く推奨いたします。

AOLのユーザーネームとパスワードを他のオンラインサービスにおいてもユーザーネーム及びパスワードとしてご利用されている場合は、それらのパスワードをリセットすることを推奨いたします。


「なりすまし」とは具体的には何ですか

なりすましとは、スパムメール発信者が使用している手法で、受信者に受信したメールを開封させるために、メールがあたかもあなたから送信されたかのように見せかける手法です。これらのメールは、表示上の送信者のメール又はメールサービスプロバイダーから送信されているのではなく、単に表示上の送信者が送信元であるかのように表示されるように偽装されているものです。AOLは業界全体を通してなりすましを撲滅するため、Gmail、Yahoo!メール、Outlook.com等の他のメールプロバイダーと協力しており、将来的になりすましを大幅に減少させるための対策を実施しています。

(AOLアカウントのなりすましに関する詳細情報については、AOLメール:ヘルプ「AOLメールをご利用の皆様へ:「なりすましメール」にご注意ください」の項をお読みください。)


AOLメールは、なりすましを防止するためにどのように対処しているのですか

AOLサーバー以外のサーバーから送信されたAOLのアドレスからのメールを拒否するよう、Gmail、Yahoo!メール、Outlook.com及びその他のDMARC*準拠のメールプロバイダー(AOLメールを含みます)に伝えるため、AOLのDMARCポリシーを更新しました。

*DMARC(Domain-based Message Authentication, Reporting & Conformance)...スパムメールやなりすましメールの撲滅のために、米AOL、米Yahoo、米Microsoft、米Google、米​Facebook等で立ち上げた団体DMARC.orgが策定した仕様

AOLサーバー以外のサーバーからAOLメールユーザーに代わってメールを送信することは、メーリングリストや一括送信等のサービスのためによく利用されていたものであり、合法的なものです。しかし、それは、スパムメール発信者に上記のようにアドレスを偽装する手段を与えてしまいました。
AOLメールのポリシーを「拒否」に切り替えることで、AOLはスパムメール発信者によるAOLのアドレスのなりすましを阻止することができます。AOL メールへの対応についての詳細はこちらで読むことができます。


他のウェブサイトにおけるパスワードも変更するべきですか

AOLのアカウントのパスワードと同一のパスワードを他のウェブサイトでも使用している場合は、それらの他のウェブサイトのパスワードも変更することをお勧めします。また、一般的に、異なるアカウントにおいて同じパスワードを使用しないことをお勧めします。


私のメールアドレスが偽装されている場合、私のアカウントは危険にさらされているということでしょうか

AOLのメールが偽装された場合でも、あなたのアカウントが必ずしもアクセスされたという訳ではありません。アカウントを危険にさらすことなくなりすましが発生することもあります。偽装されたAOLアカウントの詳細情報については、AOLメール:ヘルプ「AOLメールをご利用の皆様へ:「なりすましメール」にご注意ください」の項をお読みください。


アドレス帳にはどのような情報が含まれているのですか

アドレス帳の記載事項には、以下が含まれます。

名前(姓)
名前(名)
ニックネーム
AIM/スクリーンネーム
メールアドレス
電話番号
自宅住所
職業
勤務先
勤務先住所
配偶者や大切な人
お子様
誕生日
記念日

但し、アドレス帳の記載情報としてすべての項目が必須ではないため、含まれていない情報もあります。


私のコンピューターとアカウントを保護するために何か自分でできますか

AOLは、AOLパスワード並びに同一のユーザーネーム及びパスワードを使用している他のウェブサイトのパスワードのリセットを強く推奨いたします。強力なパスワードを作成するためのヒントについては、こちらをご覧ください。

もう一点ご自身でできる重要なことは、不審なメール内のリンクや添付をクリックしないことです。受信したメールの信憑性について疑問がある場合は、表示上の送信者となっている相手と連絡をとり、実際に送信したかどうかを確認することをご検討ください。また、知らない相手に対し電子メールで個人情報や金融情報を提供してはいけません。もし、なりすましの被害にあっていると考えられる場合は、お友達にお客様の電子メールが偽装されている可能性があるため不審な電子メール内のリンクをクリックしないようお伝えすることをご検討ください。

スパムメールに関する情報及び自身を保護するために何ができるかについては独立行政法人情報処理推進機構(https://www.ipa.go.jp/security/anshin/faq/faq-5_mail_qa.html#spam2)、総務省(http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html)、及び迷惑メール相談センター(http://www.dekyo.or.jp/soudan/ihan/)のウェブサイトをご覧ください。

さらに、悪質なソフトウェア(「悪質ソフト」)からご自身のコンピューターやモバイルデバイスを保護する方法があります。


なぜ私の連絡先はまだ私のメールアドレスからなりすましメールを受信しているのですか

AOLは業界全体を通してなりすましを撲滅するため、Gmail、Yahoo!メール、Outlook.com等の他のメールプロバイダーと協力しており、将来的になりすましを大幅に減少させるための対策を実施しています。 
AOLはこの問題について報告を受けた後、直ちに原因究明の調査を開始し、スパムメール発信者が成りすましメールを送信する余地を大幅に減少させる重要な変更を行いました。
連絡先の方々がまだなりすましメールを受信されている場合、AOLが講じた新しいセキュリティ措置をサポートしていないサービスプロバイダーのメールを利用している可能性が高いと考えられます。なりすましメールを阻止するために採った措置に関する情報については、AOLメール:ヘルプ「AOLメールをご利用の皆様へ:「なりすましメール」にご注意ください」の項をお読みください。


不審なメールを報告することはできますか

はい。不審なメールを報告する場合、AOLメール:ヘルプ「スパムメールを報告する」の項をお読みください。
また、特定の送信者又は内容を拒否するようメール設定を管理したり、迷惑メールフィルター管理したりすることができます。詳細については、AOLメール:ヘルプ「ウェブメールでスパム管理を変更する」の項をお読みください。


この問題についての最新情報はどこで見つけられますか

AOLの調査に関する最新情報については、ブログをご覧ください。
さらに、悪質なソフトウェア(「悪質ソフト」)からご自身のコンピューターやモバイルデバイスを保護する方法があります。AOLメール:ヘルプ「ウェブメールでスパム管理を変更する」の項をご参照ください。


AOLとはどのように連絡が取れますか

ご意見・ご要望に記載してあるメールアドレスよりお問い合わせください。
※なお、現在お問い合わせを多数いただいている為、全てのお問い合わせに即座にご返答しかねる点についてあらかじめご了承ください。

注目チャンネル:

お役立ち情報:

  • © Copyright 2013 AOL Online Japan, Ltd. All rights Reserved.