ニュース
» 2016年12月19日 11時00分 UPDATE

サイバー犯罪についての知識を共有することも重要:米ヤフーの10億ID漏えい、あなたはまず「何」をすべきか

セキュリティ企業ESETが米ヤフーで発生した大規模データ漏えい事案の背景を解説。自身の対策および知見の共有を目的とする「ユーザーが実施すべき対策」を告知した。

[@IT]

 スロバキアのセキュリティ企業ESETは2016年12月15日(現地時間)、米ヤフーがセキュリティインシデントに見舞われ、最大で10億件分のユーザーアカウントデータが漏えいした可能性がある本事案について、同社公式ブログで現状を解説した。以下、内容を抄訳する。

 ヤフーは2016年12月14日、同社のTumblr公式アカウントで、この情報漏えいは「2013年8月に発生したと考えられている」ことを明らかにした。同社は2016年9月末にも、2014年にデータ侵害を受け、約5億人のユーザーアカウントが影響を受けたと発表しているが、今回明らかにされた2013年8月のインシデントはこれとは無関係と述べている。

 ヤフーの最高情報セキュリティ責任者(CISO)であるボブ・ロード氏によると、この2013年8月のインシデントでは、「氏名、電子メールアドレス、電話番号、誕生日、パスワードのハッシュ値などの情報が盗まれた。さらに、犯人がセキュリティ上の質問と答えにアクセスしたケースもある」という。その一方で、銀行口座や決済関連のデータは、ヤフー側のシステムに保存されない仕組みとしていることから、「これらのデータにはアクセスされていないと考えている」と述べた。

 さらにロード氏は、2013年8月のインシデントは、2014年のデータ侵害に関する調査の過程で発覚したと付け加えた。「現在進行中の調査に基づき、私たちは、第三者がクッキーの偽造方法を知るために、ヤフーのプロプライエタリコードに不正アクセスしたと考えている。外部のフォレンジック専門家は、偽造クッキーが取得または使用されたと考えられるユーザーアカウントを特定している。

 私たちは、影響を受けたアカウント保有者に通知するとともに、偽造クッキーを無効にした。この不正行動の一部が、2014年のデータ窃盗の犯人とみられる、国家の支援を受けた何者かと関連していると考えている」(ロード氏)。

 この対処のためにユーザーが実行すべきことは以下の通り。

  • Yahoo!アカウントのパスワードを変更し、それと同じ、または類似する文字列を使っている他のアカウントのパスワードも変更する
  • Yahoo!アカウントのセキュリティ上の質問と答えを更新し、上と同様に他のアカウントについても更新する
  • 自分の全てのアカウントについて、不審な挙動がないかを監視する
  • 電子メール、電話、ソーシャルメディア、Webなど、さまざまなチャンネルで自分に対して一方的に発信されていないかを確認する
  • 詐欺の疑いがある電子メールのリンクをクリックしたり、添付ファイルをダウンロードしたりしない

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。