piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Yahoo Japanで相次いで発生した不正アクセスについてまとめてみた

4月2日、そして5月16日にYahoo Japanのサーバーに対し不正なアクセスが行われたことをYahoo Japanがそれぞれ後日に発表しました。ここではメディア等の情報を元に不正アクセスインシデントについてまとめます。

相次ぎ発生したYahoo Japanへの不正アクセスインシデントの概要

 3月から4月にかけ不正ログインを試みるアクセスが行われたことを多くの組織が発表しましたが、同時期にYahoo Japanでは同社が管理するサーバーへ不正アクセスが行われ、IDやパスワードなどの情報を抽出してファイルを作成する不審なプログラムが動いていたことを発表しました。そして、それから1ヶ月半近くが経過した5月半ばに顧客情報を抽出したファイルが作成されるといった似たような手口による不正アクセスインシデントが発生したことを報告しました。なお、この2件のインシデントの関連性については明らかになっていません。


2013年4月2日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて
 このたび、当社が運営するポータルサイトYahoo! JAPAN」(以下、「本サイト」)を管理しているシステムへの不正なアクセスが検知されましたが、情報が外部に送られる前に不正なプログラムを強制停止し、不正なアクセスを遮断しましたので、ご報告いたします。
 現在時点で判明している不正なアクセスの概要については、下記のとおりです。

http://pr.yahoo.co.jp/release/2013/0404a.html
  • 被害状況
    • 被害台数:管理サーバー(他被害があったかは不明)
    • 発覚時期:2013年4月2日 21時10分頃
    • 被害内容:管理サーバー内で不審なプログラムが稼働し、顧客情報データをファイルに抽出していた。
    • 漏えいの有無:Yahoo Japanは不審なプログラムにより作成されたデータファイルが持ち出された事実はなしとの判断
    • 発覚した経緯:Yahoo Japanが行っているシステム監視対策によるもの
    • 不正アクセス元:特定できていない
    • 原因:サーバーへアクセスするためのIDやパスワードが漏れた可能性
  • 発覚後の対応
    • 不審なプログラムを強制停止
    • 同様の手口による不正アクセス防止策を実施
  • 確認された不審なプログラムの動作
    • Yahoo Japanの管理サーバー(詳細不明)より、データを抽出しファイルを作成。
    • サーバー内で不審なプログラムを確認。ただし、具体的な情報は当時調査中として非公開。*1
    • 外部へ送信する機能が存在したかは不明。
  • 抽出していた情報
    • 件数:約127万件(強制停止時点)
    • 抽出データ
      • ユーザー名(ID)
      • 不可逆暗号化(ハッシュ化)されたパスワード
      • 登録メールアドレス
      • パスワードを忘れてしまった場合の再設定に必要な情報(秘密の質問とその答え)

2013年5月16日に検知した不正アクセスインシデント

当社サーバーへの不正なアクセスについて
 5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。

http://pr.yahoo.co.jp/release/2013/0517a.html

「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表
5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

http://pr.yahoo.co.jp/release/2013/0523a.html
  • 被害状況
    • 被害台数:管理サーバー(他被害があったかは不明)
    • 発覚時期:2013年5月16日 21時分頃
    • 被害内容:管理サーバーへの不正なアクセスを検知し、これを調査したところ顧客情報データ(IDのみ)を抽出したファイルがサーバー内に作成されていることを確認した。
    • 漏えいの有無:サーバーと外部との通信量(大量に上っている)から漏えいの可能性は否定できず。*2 *3
    • 発覚した経緯:4月2日の件を受けて監視体制を強化したことによるもの
    • 不正アクセス元:特に発表、報道等で言及なし
    • 原因:4月2日の件を受けてサーバーへのアクセス権限を持つ社員のパスワードを変更中であったが、これを終える前に不正アクセスを受けた。*4
  • 抽出していた情報
    • 件数:
       ID最大2200万件(全体の約10%、Yahoo Japanの総IDは2億件)*6
       パスワードハッシュ・秘密の質問と回答 約148.6万件
    • IDを抽出したファイルはサーバーから取り出せる状態になっていた。*7
    • その後の調査により同一犯別アプローチによるパスワードハッシュ、秘密の質問・回答の情報が漏えいした可能性が高いことを確認した。*8
    • 情報が抽出された方法は明らかになっていない。
    • 抽出データ
      • ユーザー名(ID)
        (補足)Yahoo! Japanのログインに使用できるIDは「Yahoo! JAPAN ID」「ニックネーム」「シークレットID」「登録メールアドレス」の4つがあります。今回漏えいした可能性のあるIDがどれかについては、「Yahoo! JAPAN IDを管理しているサーバー」というキーワードがプレス文にあることと、「確認ツール」で表示されるIDがYahoo! Japan IDであることから恐らく「Yahoo! JAPAN ID」が抽出されていたと思われます。*9
      • 不可逆暗号化(ハッシュ化)されたパスワード
      • パスワードを忘れてしまった場合の再設定に必要な情報(秘密の質問とその答え)

不正アクセスの対象に含まれるかを確認するツール

Yahoo Japanは5月18日に5月16日検知の不正アクセスの最大2200万件に含まれるかをユーザーで確認することが出来る専用ページを設置しました。下記ページで結果欄に対象に含まれるかが表示されます。5/23発表のパスワードハッシュ漏えいの可能性を受けて、5/24に確認ツールで表示される内容(パスワードハッシュの不正アクセス対象かどうか)が追加されています。

  • 5/23以前の確認ツール


  • 5/24以降の確認ツール

残念ながら私のIDは対象外であったため、「対象ではありません。」とのみ表示されていますが、対象に含まれていた人の情報によれば、「対象のYahoo! JAPAN IDです。念のためパスワード変更をお勧めします。」と表示され、パスワードの変更を促されます。今回の不正アクセスの対象に含まれるIDであってもYahoo Japan側でパスワードリセットの措置は行われないようです。これはYahoo Japanが5月16日に確認した、ユーザー情報を抽出したファイルに含まれる内容がIDのみであり、「IDだけではログインできない」という判断によるものと思われます。

尚、このページで確認できるのは自分のIDがYahoo Japanが5月16日に確認した最大2200万件のIDリストに該当するかどうかであり、自分の情報が不正アクセスを受けていないことを確約するものではないことに注意しなくてはなりません。Yahoo Japanの推奨する方法などを参考に、対象かどうかに惑わされず、これを機会に自衛手段を見直し、必要に応じて対策を講じましょう。
 
(追記)
その後の調査により、最大2200万件のIDの内、約148.6万件でパスワードハッシュ、及び秘密の質問とその答えが流出した可能性が高いことがYahoo Japanにより報告されました。報道によればYahoo Japanは「暗号化されたパスワードを解読するのは困難」であり、これらの情報が漏えいして使われたとしても「ログインすることは出来ない」と発表しているようです。
不可逆暗号化されたパスワードとはハッシュ化した文字列を指していると考えられますが、場合*10によってはハッシュ化された文字列から元のパスワードを解読することも可能です。*11Yahoo Japanはこの件を受けて5月24日早朝に対象IDのパスワードリセットを実行すると発表していますが、他サイトで同じID・パスワードを使いまわしている場合はパスワードを変更しましょう。
尚、どのようにハッシュ化を行っていたかについては解読される可能性を考慮して公表しない方針とのことです。*12
 

IDが漏えいすることによるリスク

Yahoo JapanのIDが漏えいしていた場合、次のようなリスクが考えられます。

(1)ID漏えいした人にスパムメールフィッシングメールが送られる

Yahoo!メールは「Yahoo! JAPAN ID」+「@yahoo.co.jp」といった形式でメールアドレスが既定で払い出されます。そのため、今回のIDリストがブラックマーケットで取引される、インターネット上に公開される等を通じてSPAM業者の手に渡った場合、この形式にもとづき作られたメールアドレスに対してスパムメールが送信される可能性があります。またパスワードの変更を促すような内容のID・パスワードの窃取を狙ったフィッシングメールが送られる可能性もあります。

万一スパムメールが受け取ることになった場合は迷惑メールフィルタ等のフィルタリング機能をまずは利用し、それでも解決が困難な場合はメールアドレスの変更を検討しましょう。

 

(2)ID漏えいした人がリバースブルートフォースを受ける

Yahoo! JAPAN IDはサービス上で公開される情報ですが、Yahoo! JAPAN IDを検索する機能は現在提供されていません。(過去にはIDを検索する機能が提供されていたようです。) 外部サービスで検索*13したり、プロフィール画面のURL末尾にIDを打ち込むことで入力したIDが存在するかどうかを確認することは出来ますが、多数のIDリストの入手を目標としているのであればかなりの手間になります。しかし今回の件は、これら手間を省き、効率的に確実に存在するIDリストを入手された可能性があります。

Yahoo Japanのサービスにログインするにはさらにパスワードが必要となりますが、ありがちな文字列を使う等強度の弱いパスワード設定をしているユーザーを狙ってリバースブルートフォースが行われる可能性が考えられます。Yahoo Japanの場合、ログインにある程度失敗すると画像認証が要求される*14ため、不正ログイン目的で総当たりを仕掛けるのであれば1つIDに対して複数回試行するよりも、このリストを使って複数IDに対して1回のみのログイン試行を行う方が攻撃者にとっては効率的です。

リバースブルートフォースについては辻さんの記事が詳しいです。

 
Yahoo! Japanではログインに利用するIDをYahoo! JAPAN IDから任意のIDへ変更することが可能です。当該機能はシークレットIDと呼ばれ、Yahoo Japanの各ページでも紹介されています。シークレットID利用時は、Yahoo! JapanIDを利用してログインすることは出来ないため、IDリストに基づいて行われるリバースブルートフォースにより不正ログインを受けることはありません。
少なくとも確認ツールで対象として表示されたユーザーはワンタイムパスワードの利用やシークレットIDでログインIDを変更すべきでしょう。

ただし、リバースブルートフォースは今回のYahoo! Japanのサービスに限ったものではなく、Yahoo! JAPAN ID(またはその形式にのっとって払い出されたYahoo!メールアドレス)と同じ文字列を別サービスでログインIDとして使っている場合に同様の不正ログインの試行を受ける可能性があります。サービスによって利用できる不正アクセス対策の機能は異なりますが、二要素認証の利用やログインIDの変更を検討しましょう。

時系列まとめ

  • 2013/04/02
    • Yahoo Japanの管理サーバーが不正アクセスを受け、不審なプログラムが稼働していることを確認。
  • 2013/04/04
  • 2013/05/16
    • 再び不正アクセスを受け、IDを抽出したファイルが作成、及び大量の通信が行われていたことを確認。
  • 2013/05/17
  • 2013/05/18
    • 5/16の件で自分が対象に含まれるかを確認するページを公開。
  • 2013/05/23
    • 5/16の件でその後の調査によりパスワードハッシュ、秘密の質問とその答えも漏えいした可能性が高いことを発表。
  • 2013/05/24
    • 5/23の発表を受け、確認ツールの表示内容を変更。

更新履歴

*1:ヤフーにも不正アクセス 127万人分情報ファイル作成 gooは10万件不正接続,読売新聞,2013年4月5日朝刊35面

*2:最大2200万件のID流出の可能性 -Yahoo! JAPANのID管理サーバに不正アクセス,マイナビニュース,2013/05/17アクセス:魚拓

*3:2200万ID流出の可能性=サーバーに再び不正侵入−ヤフー,時事通信,2013/05/17アクセス:魚拓

*4:ヤフーに不正アクセス ID2200万人分、流出の恐れ,朝日新聞,2013/05/17アクセス:魚拓

*5:ID2200万件流出か ヤフーに不正アクセス,スポニチ,2013/05/17アクセス:魚拓

*6:ヤフーに不正アクセス 2200万件ユーザーID流出か,日経新聞,2013/05/17アクセス:魚拓

*7:ヤフー 2200万人分のID流出か,NHK,2013/05/17アクセス:魚拓

*8:ヤフー、暗号化されたパスワード148万件も流出の可能性 不正アクセスで,ITmedia,2013/05/24アクセス:魚拓

*9:ログイン時に使用するIDとは,Yahoo Japan,2013/05/18アクセス

*10:元となったパスワードの文字数・種類、利用されたハッシュ関数やソルトの利用、ストレッチングの回数がどのように行われたか

*11:Yahoo!のパスワード流出、実は「他サイトが危険」? : サイバー護身術,読売新聞,2013/05/25アクセス:魚拓

*12:ヤフー、ハッシュ化されたパスワード情報と秘密の質問、約148万件流出の可能性,ITMedia,2013/05/24アクセス:魚拓

*13:例えばこれ

*14:【ログイン画面で変な画像が表示される(画像認証)】,Yahoo Japan,2013/05/18アクセス