米ヤフーは9月22日(現地時間)、2014年後半にハッカーによって少なくとも5億人分のアカウント情報が盗まれた可能性があると発表した。サイバー攻撃による情報流出として過去最大となりそうだ。
流出した可能性があるのは、パスワード、秘密の質問、誕生日、メールアドレス、電話番号。ヤフーによると、金融取引に関するデータは漏れていないという。
ヤフーは情報が流出した可能性のあるユーザーに直接メールを送り、注意を呼びかけている。
- パスワードや秘密の質問・答えを変える。ヤフーのアカウントと同じパスワードを使っているアカウントがある場合はそれも変える。
- 不審な取引がないか注意する。
- 個人情報を引き出そうとするような誘いに乗らない。
- 不審なメールに貼られているリンクをクリックしない。添付ファイルをダウンロードしない。
セキュリティーFAQページ(英語)も更新した。
サイバー攻撃対策で知られるShape Security社のシューマン・ゴセマジュンダーCTOはBuzzFeed Newsの取材に「サイバー犯罪者たちは自動化ツールを使って、ユーザーが(ヤフーと)同じパスワードを使っていたサイトを見つけるだろう。本当に問題なのは、こうしたパスワードが、ヤフーとは関係ない数千のウェブサイトを攻撃するのに使われることだ」と話した。
Flickrも
ヤフーが運営するFlickrユーザーのアカウントも不正アクセスされた可能性がある。ヤフーの調査を間接的に知る人物はBuzzFeed Newsの取材に「プライベート写真も不正アクセスされた可能性がある」などと話した。
外国政府が主導か
ヤフーによると、ハッキングには外国政府の関与が疑われるという。ただ、さらなる攻撃を防ぐためとして国名は明らかにしていない。
Recodeは「Peace(ピース)」という名のハッカーによる攻撃だと報道している。このハッカーは8月上旬、2億人分のヤフーのアカウント情報を「ダークウェブ」に売りに出した。
ダークウェブとは、匿名化ソフトを使ってしかたどり着けないサイバー空間で、違法サイトが群がるため、闇のインターネットとも呼ばれる。
ヤフーは一連の動きに気づいていた。ハッキングを調査している関係者はBuzzFeed Newsに「ヤフーは7月、ピースの犯行かを調査したが、直接の裏付けを得られなかった」と話した。
ただ、これをきっかけに調査を広げたところ、5億人分のアカウント情報の流出に気づいたという。すぐに発表しなかったのは、調査を進めるためだったとしている。
買収に影響?
ヤフーは7月、中核ビジネスを情報通信大手ベライゾンに48億ドルで売却することで合意している。今回の流出が買収の行方に影響を与える可能性もある。
ベライゾンは「2日前にヤフーのセキュリティ案件について知らされた。ヤフーはこの件について調査していると理解するが、限られた情報しかない」として、「これ以上コメントできる立場にない」という声明を発表した。
ハッキングは2014年
今回のハッキングは流出件数の多さだけではなく、公表まで2年がかかったことにも不信感が広がっている。
サイバーセキュリティ問題に詳しいマーク・ウォーナー上院議員は「2014年に起きたのに、詳細が公表されたのが今日である事態を最も懸念している。消費者が適切に通知を受けられるように、議会は一刻も早く、データ漏洩に関する通知の基準を作るべきだ」とする声明を発表した。
ヤフーのビジネスを皮肉るツイートも相次いでいる。