米Yahoo、国家に支援された攻撃により個人情報5億人分がリークと確認

yahoo-logo

すでに予告されていたとおり、今日(米国時間9/22)、米Yahooは捜査当局と協力してデータ漏洩問題の調査に当たっていることをことを確認した

Yahooによればこの漏洩で「少なくとも5億人のユーザーの個人情報に影響が及んだ」とされる。 同社によれば、情報窃取が行われたのは2014年で、犯人は「国家の支援を受けたグループ」だとされる。盗まれた情報にはユーザー氏名、メールアドレス、電話番号、生年月日、パスワード(大部分はbcryptによって暗号化ずみ)だ。また一部のケースではセキュリティー質問とその答えが漏洩している(暗号化されている場合もされていない場合もあるという)。

これはデータ漏洩史上もっとも大掛かりで悪質なケースだ。犯人が国家的支援を疑われているだけでなく、窃取された個人情報の規模も内容も深刻な影響が懸念される。

2段階認証が設定されていない場合、セキュリティー質問とその答えが平文で得られればハッカーはさまざまなパスワード保護の仕組みをスキップして自由に新しいパスワードを設定できる。

Yahooでは暗号化されていなかったセキュリティー質問とその答えをすべて無効にしたという。しかしユーザーはこうした質問と答えをさまざまなサイトで使いまわしているというのが現実だ。

ただし、Yahooによれば、犯人は保護されていないパスワード・ファイルへのアクセスには失敗している。またクレジットカード情報、銀行口座などの支払情報も漏洩していない。これらは今回漏洩が確認されたのとは全く別のシステムに保管されていた。

今日の午前11時30分(太平洋時間)から、Yahooは影響を受けたユーザーにメールによる通知を開始した。このメールでYahooはパスワードの変更と新たな認証方法の追加を求めている。また2014年以來パスワードを変更していないユーザーに新たなパスワードを設定するよう求めている。

以下にエンベッドしたのはYahoo USがユーザーに送付したメールの内容だ。

  1. screen-shot-2016-09-22-at-3-09-57-pm.png

  2. screen-shot-2016-09-22-at-3-09-49-pm.png

Yahooは今回の漏洩で影響を受けなかったユーザーもYahoo Account Keyという新たな認証ツールを採用するよう強く勧めている。

Yahooはこの件に関して捜査当局と協力していること述べた。いわゆる「国家的支援を受けた攻撃者グループ」が現在同社のネットワークに侵入している証拠は見出されていないが、捜査は継続されている。

こうした大規模な漏洩が起きた場合、他のハッカーも「尻馬に乗って利益を得る」ことを図るのが通例だ。

ユーザーはフィッシング・メールによる攻撃を頻繁に受けることになる。こうしたメールはパスワードのリセットを助ける振りをしているが、リンクをクリックするとパスワードを含む個人情報を盗み取ることを目的とする偽サイトにリダイレクトされることになる。Yahooはユーザーがこうした悪質なメールに警戒するよう呼びかけている。ユーザー側からの要求なしに勝手に送りつけられてきたメールに含まれるリンクををクリックしたり、メールに返信したりするのは非常に危険だ。

データ漏洩に対する疑問に関してはYahooがこちらにヘルプページを開設している。 https://yahoo.com/security-update.

ただしQ&Aには「ハッシュされたパスワードとはどういう意味ですか?」といった基礎的な知識が掲載されているだけでデータ漏洩のそのものに関する情報は少ない。なおQ&AはTumblrのユーザーアカウントは今回の漏洩の影響を受けていないとしている。【略】

アップデート:

以下はFBの声明。「FBIは漏洩の事実を承知している」とある。

Verizon PRの声明によると、Verizonがこの漏洩問題を知ったのは2日前だという。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

株価の不振続くYahoo、2015年度決算発表でコア・ビジネス売却の可能性を示唆

2016-02-03-yahoomail-ios-swipe

これはほぼ予期されていたことなので、大きな驚きではない。

コア・ビジネスであるインターネット部門が不振を続ける中、アメリカYahooは「戦略的な選択肢を検討中」だと述べた。これが示唆するところはかなり幅広いが、その中には以前も報じたように、コア・ビジネスそのものを他社に売却する可能性が含まれる。

アメリカYahooは四半期決算の発表資料の中で次のように述べている。

株主価値を最大化するため、Yahoo取締役会は現に確定している経営計画の実行と平行して他の戦略的選択肢を検討するべきだと信じる。われわれ自身が運営する事業からAlibaba株式を分離することは依然として最重点課題であり、企業価値の最大化のためにもっとも直接的に有効な手段だと考える。すでに詳しく検討された通り、各種事業の分離(reverse spin)を進めていくと同時に、Yahooは十分に根拠ある戦略的提案を検討していくことになろう。

要するに、この声明はYahoo本体の事業がうまくいっていないことを自認したかたちだ。アメリカYahooは今日、年間決算を発表した。四半期決算同様、ここでも売上の成長の停滞、メインストリームに入れぬままの数多くのプロダクトなどが目立った。全体として投資家を納得させるにはほど遠い内容となっている。

2012年にMarissa MeyerがCEOに就任した際の目標は会社を再び成長路線に引き戻すという非常に野心的なものだった。Meyerはモバイル・アプリを中心にポートフォリオの整備を進め、Yahooを昔のように人々の生活に不可欠の存在にしようと努力した。

以前TechCrunchが報じた通り、Yahooは2016年には新たなコア・ビジネスの構築に務めると同時に、社員の15%をレイオフし、国外オフィスの多くを閉鎖するとしている。しかしこうした努力にもかかわらず、株価を上昇させる効果は見られなかった。つまりすべては決算の発表前に予想された通りであり、まったく驚きの要素がなかったということだろう。

事実、今日現在のYahooの企業価値の大部分はAlibaba〔とYahoo Japan〕の株式だ。このことがそもそもYahoo取締役会がコングロマリットを解体し、インターネット事業の売却を考えている理由だ。取締役会がこういう方針を検討しているというニュースが報道されただけで、株価は7%も跳ね上がった。長年にわたって株価の下落が続いてきたYahooとしては非常に珍しい事態だった。

[原文へ]

(翻訳:滑川海彦@Facebook Google+