ヤフーは水曜日、同社に対する新たな大規模データ侵害を発表した。これは3ヶ月間で2度目の発表となる。同社によると、2013年8月に最大10億人のユーザーのデータが不正アクセスされたという。
盗まれたユーザーアカウント情報には、氏名、メールアドレス、電話番号、生年月日、MD5ハッシュ化されたパスワード、そして場合によっては暗号化または非暗号化されたセキュリティの質問と回答が含まれていた可能性があります。調査の結果、盗まれた情報には平文のパスワード、ペイメントカードデータ、銀行口座情報は含まれていなかったことが判明しました。ペイメントカードデータと銀行口座情報は、当社が影響を受けたと想定するシステムには保存されていません。
ヤフーは、今回の情報漏洩の影響を受けた可能性のあるユーザーに通知し、パスワードの変更を求めるなど、アカウントのセキュリティ保護のための措置を講じたと発表しました。また、今回の情報漏洩でアクセスされた可能性のあるセキュリティの質問と回答は無効化されており、ヤフーアカウントへのアクセスには使用できないとしています。
同社によれば、このハッキングは、法執行機関が未知の第三者からヤフーのユーザーデータと思われるデータを同社に提供したことで発覚したという。同社は、侵害がいつ発生したかを正確に特定できていないとしながらも、5億件以上のアカウントのデータが侵害された2014年末のハッキングとは「おそらく」異なるとしている。
9月下旬、Yahooは2014年末の攻撃で少なくとも5億件のユーザーアカウントがハッカーに侵害されたことを認めました。ハッカーは、氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、そして暗号化されたセキュリティの質問と回答(暗号化されているものとされていないものの両方)などの顧客情報を盗み出すことに成功しました。
同社は、上記の2件の侵害に加え、侵入者がどのように偽造クッキーを作成し、それを使ってアカウントにアクセスしたかを外部のフォレンジック専門家が調査していることも明らかにした。
ヤフーは以前、外部のフォレンジック専門家が、侵入者がパスワードなしでユーザーアカウントにアクセスできる可能性のある偽造Cookieの作成について調査中であることを明らかにしました。現在進行中の調査に基づき、同社は、権限のない第三者が同社の独自コードにアクセスし、Cookieの偽造方法を入手したと考えています。外部のフォレンジック専門家は、偽造Cookieが 取得または使用されたと思われるユーザーアカウントを特定しました。ヤフーは影響を受けたアカウント所有者に通知し、偽造Cookieを無効化しました。同社は、この活動の一部が、2016年9月22日に同社が公表したデータ窃盗事件の犯人とみられる、国家支援を受けた同じ組織によるものと関連付けています。
このようなケースでは通常通り、同社はユーザーに対し、すべてのオンラインアカウントを確認し、不審なアクティビティがないか確認し、Yahoo!アカウントとパスワードを共有している可能性のある他のアカウントのパスワードを変更することを推奨しています。また、Yahoo!アカウントキーの使用も推奨しています。これは、Yahoo!でパスワードを使用する必要性を完全に排除する2要素認証ツールです。
Yahoo ユーザーに送られた電子メールの本文は次のとおりです。
データ侵害の通知
—–様、
お客様のYahoo!アカウント情報に関連する可能性のあるデータセキュリティ上の問題が発生していますので、お知らせいたします。お客様のアカウントのセキュリティ確保のため、対策を講じており、現在、法執行機関と緊密に連携しております。何が起こったか?
2016年11月、法執行機関はYahoo!に対し、第三者がYahoo!のユーザーデータであると主張するデータファイルを提供しました。外部のフォレンジック専門家の協力を得てこのデータを分析した結果、Yahoo!のユーザーデータである可能性が高いことが判明しました。フォレンジック専門家によるこのデータのさらなる分析に基づき、2013年8月に、権限のない第三者が、お客様のアカウントを含む、より広範なユーザーアカウントに関連するデータを窃取したと考えられます。この窃取に関連する侵入行為は特定できていません。このインシデントは、2016年9月22日に公表したインシデントとは異なる可能性が高いと考えています。どのような情報が盗まれたか?
盗まれたユーザーアカウント情報には、氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード(MD5を使用)、そして場合によっては暗号化または非暗号化されたセキュリティの質問と回答が含まれていた可能性があります。これらのデータ要素のすべてがお客様のアカウントに存在していたとは限りません。調査の結果、盗まれた情報には平文のパスワード、クレジットカード情報、銀行口座情報は含まれていなかったことが判明しました。クレジットカード情報と銀行口座情報は、影響を受けたと考えられるシステムには保存されていません。我々の取り組み
我々はユーザーを保護するために対策を講じています:
影響を受ける可能性のあるユーザーには、パスワードの変更を要求しています。
暗号化されていないセキュリティの質問と答えを無効にし、アカウントへのアクセスに使用できないようにしました。
我々は、ユーザーアカウントへの不正アクセスを検出して防止する安全策とシステムを継続的に強化しています。
あなたにできること
以下のセキュリティ推奨事項に従うことをお勧めします:
Yahoo アカウントで使用したのと同じまたは類似の情報を使用した他のアカウントのパスワードとセキュリティの質問と答えを変更します。
すべてのアカウントで不審なアクティビティ
がないか確認してください。 個人情報を尋ねたり、個人情報を求める Web ページに誘導する一方的な通信には注意
してください。 不審なメールのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
また、Yahoo でパスワードを使用する必要性をまったく排除するシンプルな認証ツールである Yahoo アカウントキーの使用を検討してください。詳細情報
この問題とセキュリティ リソースの詳細については、https://yahoo.com/security-update にある Yahoo のセキュリティ問題に関する FAQ ページをご覧ください。お客様の情報を保護することは当社にとって重要であり、当社は防御力を強化するために継続的に取り組んでいます。
心から、
ボブ・ロード ヤフー
最高情報セキュリティ責任
者
