2016-09-24
Yahoo!の情報漏えいについてまとめてみた
インシデントまとめ | |
2016年9月22日、米国のYahoo!は同社が扱うサービスから大量の個人情報が盗まれたことを発表しました。ここでは関連情報をまとめます。
インシデントタイムライン
| 日時 | アクター | 出来事 |
|---|---|---|
| 遅くとも2014年後半 | 攻撃者 | Yahoo!のネットワークから個人情報を窃取。 |
| 2016年7月 | ベライゾン、Yahoo! | 買収に関する合意完了 |
| 2016年8月1日頃 | − | DarkWeb上でYahoo!の個人情報が大量に売買されていると報道。 |
| 2016年9月22日 | Yahoo! | 個人情報の漏えいを発表。 |
| 2016年3月まで | ベライゾン、Yahoo! | 買収手続きを完了する計画 |
公式発表
何が漏れたのか
Yahoo!は次の項目が含まれる個人情報が盗まれた恐れがあると発表している。
この内、セキュリティの質問と答えは暗号化されているもの、されていないものが混在している。またパスワードの多くはbcryptによりハッシュ化されている。
また盗まれた情報に次の項目は含まれていないと発表している。金銭に関係する情報はシステムで保持されていない。
何件漏れたのか
- 調査中ではあるが、Yahoo!は少なくとも5億件のユーザー情報が盗まれたと見ている。
- 5億件の漏えいはこれまで明らかになっている単一企業の事例では過去最大規模。
- Yahoo!の登録アカウント総数は約10億件。*1
ここ最近の情報が盗まれた大規模な事例(BBCより)
| 漏えいしたWebサービス | 漏えい件数 |
|---|---|
| MySpace | 約3億5900万件 |
| 約1億6400万件 | |
| Adobe | 約1億5200万件 |
情報漏えいがわかった経緯
- Yahoo!の内部調査により今回の事態を把握した。
- 内部調査は2016年8月のYahoo!アカウントが売られていた件が発覚したことによる。
- 2年間もこの事態を把握できなかった原因は明らかにされていない。*2
内部調査のキッカケとなったアカウント情報売買
- DarkWeb上のマーケット(TheRealDeal Market)で「peace_of_mind」を名乗る人物がYahoo!の個人情報を売買していた。*3
- 約2億8千万件の個人情報を売買する動きに関する情報を真偽不明としつつ確認したことによる。
- peace_of_mindは販売データは2012年時点のデータと主張している。
- 内部調査では2016年8月に売買されていた件に関係する情報は確認ができなかった。*4
2016年8月に報じられていたYahoo!のアカウント売買に関する情報
この不正アクセスを行ったのは誰か
Yahoo!のこの発表に対し、BBC北米テクノロジー担当者は次のコメントを掲載している。
国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう? 国家が支援する攻撃だという見解には、どういう証拠があるのか?
http://www.bbc.com/japanese/37448066
Yahoo!の対応
Yahoo!は今回の件を受け、次の対応を行うと発表している。
- 電子メールによるユーザーへの通知 (Yahoo Security Notice)
- 暗号化されていないセキュリティの質問と答えを用いたアカウントへのアクセス停止
- 2014年以降パスワードを変更していないユーザーへの勧告
- システムの強化、及びユーザーアカウントへの不審なアクセスの検出
- 司法当局との緊密な連携
- ユーザー向けFAQサイトの設置 (Account Security Issue FAQs)
またユーザーへは次の注意を促している。合わせてYahoo!Account Keyの利用も推奨している。
- Yahoo!に使用したものと同じセキュリティの質問と答えを使用しているのであれば変更すること。
- 不審な活動痕跡がないかアカウントの確認をすること。
- 要求していないにもかかわらず、個人情報を聞かれる、あるいはそれを尋ねてくるWebページには注意すること。
- 不審な電子メールのリンクのクリックや添付ファイルの開封はしないこと。
司法当局の動き
Yahoo!Japanへの影響
- Yahoo!Japan広報室によればYahoo!とはほぼ独立した運営であり、今回の件による影響はないと発表。*6
- Yahoo!JapanのFacebookページでも同様のコメントを掲載している。
- Yahoo!Japanへの取材によれば、Yahoo!とは人材、技術面での交流がある程度であり、別会社の別サービスとコメント。*7
日本のユーザーへの影響
- Yahoo!に登録したユーザーは影響を受ける。
- Flickrも利用にあたってYahoo!のアカウントが必要となることから同サービス利用者は影響を受ける。
- Tumblrは影響を受けないことがYahoo!のFAQで発表されている。
Yahoo!買収への影響
- ベライゾンがYahoo!のポータル、広告、不動産の一部等を約48億3千万ドルで買収するとして2016年7月に合意していた。買収の手続きは2017年3月までに終える予定であった。
- ベライゾンは2日前に今回の件を把握した、限られた情報しか得ていないと取材に対してコメント。
- ベライゾンはステークホルダー及びベライゾン全体の利害の観点より、捜査進捗を受け事態を評価するとコメント。*8
- Yahoo!の事業売却のオークション入札参加者に対して、今回の件に関する情報開示を十分に行われていなかったといった話がある。*9
- 2016年7月時点でYahoo!CEO マリッサ・メイヤー氏がこの件を認識していたと報道されているが、今回の漏えいなのか別件(Darkwebで販売されていたもの等)かは明確になっていない。
- CEOは社内の調査委にメンバーとして参画し、7月時点で把握していたと報道されている。
Yahoo!提訴の動き
- ニューヨーク在住の男性が23日に個人情報の保護が十分でない等としてYahoo!を提訴。*10
- 男性は漏えいした米国内のユーザーを代表し、カリフォルニア州サンノゼの連邦裁判所で提訴。
- 損害賠償請求も含まれているが具体的な金額は明らかにされていない。
- 同様の訴訟は同じくカリフォルニア州で起こされている。*11
更新履歴
*1:米ヤフー 5億人情報流出 売却計画に影響も,毎日新聞,2016年9月24日アクセス
*2:米ヤフー情報流出 いずれかの国家関与か FBIが捜査,NHK,2016年9月24日アクセス:魚拓
*3:5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か,ITpro,2016年9月24日アクセス:魚拓
*4:米ヤフー、5億件の情報流出 外国政府の関与示唆,朝日新聞,2016年9月24日アクセス
*5:米ヤフー、5億人情報流出 ハッカー攻撃、国家関与か,共同通信,2016年9月24日アクセス:魚拓
*6:米ヤフー、5億人分の情報流出 国家関与の攻撃か,日本経済新聞,2016年9月24日アクセス:魚拓
*7:米ヤフー、5億人の情報流出 日本では「被害なし」,日刊スポーツ,2016年9月24日アクセス:魚拓
*8:米ヤフーから5億件のユーザー情報流出 国家主導の攻撃か,BBC,2016年9月24日アクセス:魚拓
*9:米ヤフー「5億人分の個人情報流出」と発表 – ベライゾンはご機嫌斜め,WirelessWire News,2016年9月24日アクセス:魚拓
*10:米ヤフー、ユーザー代表が個人情報流出で提訴,Reutors,2016年9月24日アクセス:魚拓
*11:米ヤフーを提訴=個人情報流出で−NYの男性,時事通信,2016年9月24日アクセス