Yahooは、またハッキングに苦しめられている。
Yahooは本日、2013年8月に10億人以上のユーザーアカウントの情報漏洩が起きていたことを公表した。この情報漏洩は、Yahooが9月に報告した5億アカウントの情報が盗まれた件とはまた別のものという。
Yahooの情報セキュリティーを担当する役員Bob Lordは、どのように10億アカウントの情報が盗まれたか特定できていないという。「情報の盗難の経路を特定できていません」とLordはハックを公表した投稿に書いている。
「盗まれたユーザーアカウントの情報には名前、メールアドレス、電話番号、誕生日、MD5によりハッシュ化したパスワード、場合によっては暗号化、もしくは暗号化されていないセキュリティー質問と回答が含まれている可能性があります」とLordは書いている。
Yahooは警察から大規模な情報漏洩の報せを受け、外部の専門捜査官の助けを借りて、データを確認していた。データには決済情報やプレインテキストのパウワードは含まれていないようだが、それでもYahooのアカウントを持っている人には悪い報せだ。ハッシュ化アルゴリズムMD5はすでに安全ではないとされている。MD5によるハッシュ化はオンラインで少し探せば、それが隠しているパスワードを探り当てることが可能だ。
Yahooはこの情報漏洩で影響を受けるアカウント所有者に通知しているという。影響のあるユーザーはパスワードを変更する必要がある。
また、Yahooは本日、Yahooの占有コードにハッカーがアクセスし、そのコードを使って、パスワードを使用せずともアカウントにアクセスができるクッキーを偽造していたと発表した。「外部の専門捜査官は、偽造クッキーが盗られた、あるいは使用されたアカウントユーザーを特定しました。影響を受けたアカウントの所有者に通知し、偽造クッキーは無効化しました」とLordは言う。今回の攻撃は国の支援を受ける者の仕業と考えているとLordは付け足している。
今日の発表は、Yahooのセキュリティー問題がまだ続いていることを示す。Yahooの従業員は、5億人の情報が盗まれたことを示す形跡を早ければ2014年の段階で知っていたという。だがYahooがその情報漏洩について発表したのは今年の9月のことだ。Yahooの役員が情報漏洩について知っていたか、知っていたのならいつ知ったのか。この質問への回答は、現在進行中のVerizonのYahoo買収にとって重要なものになる。Yahooは売却を発表してから数ヶ月経って初めて情報漏洩を公表したのだ。
Verizonは7月に48億3000万ドルでYahooの買収に合意したが、Yahooの一連のセキュリティー問題を受け、買収額を10億ドル減額するかもしれないと考えられている。「これまでお伝えしているように、Yahooが調査を継続する中で、状況を見極めていきます」と本日Verizonのスポークスマンは答えた。「最終的な結論を出す前に、今回の件がもたらす影響について検証します」。
(開示情報:VerizonはTechCrunchの親会社であるAOLを所有している)
Yahooは10月にもセキュリティー対策について厳しい目で見られることになった。Yahooがアメリカの諜報機関の命令により、2015年の初頭、全てのユーザーのアカウントをスキャンしたとロイターが報じた。Yahooの法務責任者Ron Bellは、アメリカ合衆国国家情報長官のJames Clapperに対し、メールのスキャンプログラムの内容について明確な情報を公に開示することを依頼したという。
[原文へ]
(翻訳:Nozomi Okuma /Website)