米ヤフーから5億件のユーザー情報流出 国家主導の攻撃か
- 2016年09月23日
米ヤフーは22日、ハッキングによって2014年に約5億件のユーザー情報が流出したと発表した。公表されたサイバー侵入の中では、史上最大規模とみられる。
ネットワーク侵入により、氏名やメールアドレス、誕生日、暗号化されたパスワードのほか、「暗号化されていないセキュリティー用の質問と答え」が盗まれたという。クレジットカード情報は含まれていないという。ヤフーは全ユーザーに、2014年以降パスワードを変更していない場合は、変更するよう呼びかけている。
ヤフーは文書で、「国家の後ろ盾を得た当事者によるオンライン侵入や窃盗は、テクノロジー業界全体にわたって頻度が増している」とコメントした。
米連邦捜査局(FBI)は、捜査に着手していると明らかにした。
テクノロジー企業に対する大規模攻撃の可能性は8月に指摘されていた。当時、「ピース」と呼ばれるハッカーが、ヤフー・アカウント2億件について情報を売却しようとしていたことから、明るみに出た。
ヤフーは22日、流出の規模が想定より大きかったと認めた。
ヤフーのインターネット資産は今年7月、米情報通信大手ベライゾンが48億ドルで買収すると合意。ベライゾンはBBCに対して、「ここ2日の間に」攻撃について知ったばかりで、「限られた情報しか得ていない」と説明した。
ベライゾンはさらに、「消費者や顧客、株主や関連コミュニティーを含むベライゾン全体の利害という観点から、捜査の進捗を受けて、事態を評価していく。それまではこれ以上コメントする立場にない」と答えた。
ロイター通信は匿名の米情報機関筋3人の話として、過去にロシア情報機関と関連づけられたほかのハッキング事案に類似しているため、これも国家の支援を受けたものと考えられると伝えた。
情報流出の規模は、最近の大規模なハッキング事案よりもはるかに大きい。最近ではたとえば、マイスペースが3億5900万件、リンクトインが1億6400万件、アドビが1億5200万件、アカウント情報を盗まれている。
セキュリティー企業コバタのニッキ・パーカー副社長は、「ヤフーは規制当局やマスコミや世間の、厳しい監視にさらされるだろう。当然のことだ。企業はセキュリティー侵犯をなかったことにはできないし、問題解決に全力で尽くすつもりだともろ手を挙げて示さなくてはならない」と話す。「ベライゾンとの契約がもう揺るぎないものだといいのだが」とパーカー氏は付け足した。
ヤフーが情報流出を完全に認めるまでに時間がかかったことにも、疑問の声が上がっている。
英サリー大学のアラン・ウッドワード教授は「2014年の侵入がこれほど長いこと気づかれなかったというのは、とても心配だ。公式発表がこれほど遅れたというのも意外だ」と話す。
「ほとんどの企業はすでに、情報公開は早い方がいいと学んでいるはずだと思っていた。後から情報を訂正し更新しなくてはならないとしても」
ヤフーは1994年に、ジェリー・ヤン氏とデイビッド・ファイロ氏が共同で立ち上げた。最初の10年間はインターネット・サービスの草分け的存在だった。
一時は米国で最も人気の高いウエブサイトで、時価評価額1250億ドルに達したが、2000年代に入り失速し、ベライゾンに買収された。
ヤフーへのアクセスは毎月10億人に上る。この巨大な顧客層へのターゲティング広告セールスがベライゾンの買収動機だったとされる。
<分析> 「ヤフーへの質問」 デイビッド・リーBBC北米テクノロジー担当記者(サンフランシスコ)
盗まれた情報の内容はいささか、ありきたりな感じがする。決済情報は含まれず、パスワードは暗号化されていた。良かった。
けれども今回の異例の発表に至るまでの経緯からは、かなり切迫した疑問がヤフーに対していくつも浮上した。
ハッキングの事実と規模を確認するまでに、なぜこれほど長くかかったのか? なぜユーザーに伝え、安全対策をとるよう促すまでに、これほど時間がかかったのか?
国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう? 国家が支援する攻撃だという見解には、どういう証拠があるのか?
ヤフーを買収すると合意したベライゾンは、数日前まで知らされていなかったと話す。なぜだ?
そして、様々な取り引きで失敗し、今や史上最大規模のセキュリティー侵犯の渦中でトップの座にいたマリッサ・メイヤーCEOは、どうしてまだトップを続けているのか。