ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-09-24

Yahoo!の情報漏えいについてまとめてみた

| 01:55 |  Yahoo!の情報漏えいについてまとめてみたを含むブックマーク

2016年9月22日、米国Yahoo!は同社が扱うサービスから大量の個人情報が盗まれたことを発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時アクター出来事
遅くとも2014年後半攻撃者Yahoo!ネットワークから個人情報を窃取。
2016年7月ベライゾンYahoo!買収に関する合意完了
2016年8月1日頃DarkWeb上でYahoo!個人情報が大量に売買されていると報道
2016年9月22日Yahoo!個人情報の漏えいを発表。
2017年3月までベライゾンYahoo!買収手続きを完了する計画
公式発表

何が漏れたのか

Yahoo!は次の項目が含まれる個人情報が盗まれた恐れがあると発表している。

この内、セキュリティの質問と答えは暗号化されているもの、されていないものが混在している。またパスワードの多くはbcryptによりハッシュ化されている。

また盗まれた情報に次の項目は含まれていないと発表している。金銭に関係する情報はシステムで保持されていない。

何件漏れたのか

  • 調査中ではあるが、Yahoo!は少なくとも5億件のユーザー情報が盗まれたと見ている。
  • 5億件の漏えいはこれまで明らかになっている単一企業の事例では過去最大規模。
  • Yahoo!登録アカウント総数は約10億件。*1

ここ最近の情報が盗まれた大規模な事例(BBCより)

漏えいしたWebサービス漏えい件数
MySpace約3億5900万件
LinkedIn約1億6400万件
Adobe約1億5200万件

情報漏えいがわかった経緯

  • Yahoo!の内部調査により今回の事態を把握した。
  • この内部調査は2016年8月のYahoo!アカウントデータ販売の発覚がキッカケ。
  • Yahoo!が2年間もこの事態を把握できなかった原因は明らかにされていない。*2

内部調査のキッカケとなったアカウント売買

f:id:Kango:20160925013539p:image

  • DarkWeb上のマーケット(TheRealDeal Market)で「peace_of_mind」を名乗る人物Yahoo!個人情報を売買していた。*3
  • peace_of_mindは販売データは2012年時点のデータと主張している。*4
  • 内部調査は約2億8千万件の個人情報を売買する動きに関する情報を真偽不明としつつ確認したことをキッカケとして行われた。
  • 内部調査では2016年8月に売買されていた件に関係する情報は確認ができなかった。*5

この不正アクセスを行ったのは誰か

  • Yahoo!はいずれかの国家の支援を受けたものによる行為であると発表。
  • Yahoo!は発表時点で「国家支援を受けた」ことが判断できる情報は公開していない。

Yahoo!のこの発表に対し、BBC北米テクノロジー担当者は次のコメントを掲載している。

国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう? 国家が支援する攻撃だという見解には、どういう証拠があるのか?

http://www.bbc.com/japanese/37448066

Yahoo!の対応

Yahoo!は今回の件を受け、次の対応を行うと発表している。

またユーザーへは次の注意を促している。合わせてYahoo!Account Keyの利用も推奨している。

  • Yahoo!に使用したものと同じセキュリティの質問と答えを使用しているのであれば変更すること。
  • 不審な活動痕跡がないかアカウントの確認をすること。
  • 要求していないにもかかわらず、個人情報を聞かれる、あるいはそれを尋ねてくるWebページには注意すること。
  • 不審な電子メールのリンクのクリックや添付ファイルの開封はしないこと。

司法当局の動き

  • FBIは22日に声明。「大変深刻に受け止めており、原因と犯人を突き止める。」*6
  • 現在のYahoo!ネットワーク上では、同社が指摘する国家を背景とした攻撃者は確認できていない。

Yahoo!Japanへの影響

日本のユーザーへの影響

Yahoo!買収への影響

  • ベライゾンYahoo!のポータル、広告、不動産の一部等を約48億3千万ドルで買収するとして2016年7月に合意していた。買収の手続きは2017年3月までに終える予定であった。
  • ベライゾンYahoo!の発表2日前に今回の件を把握した、限られた情報しか得ていないと取材に対してコメント。
  • ベライゾンステークホルダー及びベライゾン全体の利害の観点より、捜査進捗を受け事態を評価するとコメント。*9
  • Yahoo!事業売却のオークション入札参加者に対して、今回の件に関する情報開示を十分に行われていなかったといった話がある。*10
  • 2016年7月時点でYahoo!CEO マリッサ・メイヤー氏がこの件を認識していたと報道されているが、今回の漏えいなのか別件(Darkwebで販売されていたもの等)かは明確になっていない。
  • Yahoo! CEOは社内の調査委にメンバーとして参画し、7月時点で把握していたと報道されている。
  • ベライゾン傘下AOLCEOはこの事案による影響に対してのコメントは避けたものの、買収による合併には依然として前向きであることが報じられている。*11

Yahoo!提訴の動き

更新履歴

*1米ヤフー 5億人情報流出 売却計画に影響も,毎日新聞,2016年9月24日アクセス

*2米ヤフー情報流出 いずれかの国家関与か FBIが捜査,NHK,2016年9月24日アクセス:魚拓

*35億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か,ITpro,2016年9月24日アクセス:魚拓

*4Yahoo!が認めた不正アクセス発生の時期(2014年後半頃)とは一致しない。

*5米ヤフー、5億件の情報流出 外国政府の関与示唆,朝日新聞,2016年9月24日アクセス

*6米ヤフー、5億人情報流出 ハッカー攻撃、国家関与か,共同通信,2016年9月24日アクセス:魚拓

*7米ヤフー、5億人分の情報流出 国家関与の攻撃か,日本経済新聞,2016年9月24日アクセス:魚拓

*8米ヤフー、5億人の情報流出 日本では「被害なし」,日刊スポーツ,2016年9月24日アクセス:魚拓

*9米ヤフーから5億件のユーザー情報流出 国家主導の攻撃か,BBC,2016年9月24日アクセス:魚拓

*10米ヤフー「5億人分の個人情報流出」と発表 – ベライゾンはご機嫌斜め,WirelessWire News,2016年9月24日アクセス:魚拓

*11米ベライゾン傘下AOLのCEO「ヤフー買収完了望む」,日本経済新聞,2016年9月27日アクセス:魚拓

*12米ヤフー、ユーザー代表が個人情報流出で提訴,Reutors,2016年9月24日アクセス:魚拓

*13米ヤフーを提訴=個人情報流出で−NYの男性,時事通信,2016年9月24日アクセス

*14米ヤフーをユーザーが相次ぎ提訴−個人情報流出で顧客データ保護怠る,Bloomberg,2016年9月26日アクセス