2016年9月22日、米国のYahoo!は同社が扱うサービスから大量の個人情報が盗まれたことを発表しました。ここでは関連情報をまとめます。
インシデントタイムライン
日時 | アクター | 出来事 |
---|---|---|
遅くとも2014年後半 | 攻撃者 | Yahoo!のネットワークから個人情報を窃取。 |
2016年7月 | ベライゾン、Yahoo! | 買収に関する合意完了 |
2016年8月1日頃 | − | DarkWeb上でYahoo!の個人情報が大量に売買されていると報道。 |
2016年9月22日 | Yahoo! | 個人情報の漏えいを発表。 |
2017年3月まで | ベライゾン、Yahoo! | 買収手続きを完了する計画 |
公式発表
何が漏れたのか
Yahoo!は次の項目が含まれる個人情報が盗まれた恐れがあると発表している。
- 氏名
- メールアドレス
- 電話番号
- 生年月日
- ハッシュ化されたパスワード
- セキュリティの質問と答え
この内、セキュリティの質問と答えは暗号化されているもの、されていないものが混在している。またパスワードの多くはbcryptによりハッシュ化されている。
また盗まれた情報に次の項目は含まれていないと発表している。金銭に関係する情報はシステムで保持されていない。
- 保護されていないパスワード
- クレジットカード情報
- 銀行口座情報
何件漏れたのか
- 調査中ではあるが、Yahoo!は少なくとも5億件のユーザー情報が盗まれたと見ている。
- 5億件の漏えいはこれまで明らかになっている単一企業の事例では過去最大規模。
- Yahoo!の登録アカウント総数は約10億件。*1
ここ最近の情報が盗まれた大規模な事例(BBCより)
漏えいしたWebサービス | 漏えい件数 |
---|---|
MySpace | 約3億5900万件 |
約1億6400万件 | |
Adobe | 約1億5200万件 |
情報漏えいがわかった経緯
内部調査のキッカケとなったアカウント売買
- 2016年8月に報じられていたYahoo!のアカウント売買に関する情報が報じられた。
- DarkWeb上のマーケット(TheRealDeal Market)で「peace_of_mind」を名乗る人物がYahoo!の個人情報を売買していた。*3
- peace_of_mindは販売データは2012年時点のデータと主張している。*4
- 内部調査は約2億8千万件の個人情報を売買する動きに関する情報を真偽不明としつつ確認したことをキッカケとして行われた。
- 内部調査では2016年8月に売買されていた件に関係する情報は確認ができなかった。*5
この不正アクセスを行ったのは誰か
Yahoo!のこの発表に対し、BBC北米テクノロジー担当者は次のコメントを掲載している。
国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう? 国家が支援する攻撃だという見解には、どういう証拠があるのか?
http://www.bbc.com/japanese/37448066
Yahoo!の対応
Yahoo!は今回の件を受け、次の対応を行うと発表している。
- 電子メールによるユーザーへの通知 (Yahoo Security Notice)
- 暗号化されていないセキュリティの質問と答えを用いたアカウントへのアクセス停止
- 2014年以降パスワードを変更していないユーザーへの勧告
- システムの強化、及びユーザーアカウントへの不審なアクセスの検出
- 司法当局との緊密な連携
- ユーザー向けFAQサイトの設置 (Account Security Issue FAQs)
またユーザーへは次の注意を促している。合わせてYahoo!Account Keyの利用も推奨している。
Yahoo!Japanへの影響
日本のユーザーへの影響
Yahoo!買収への影響
- ベライゾンがYahoo!のポータル、広告、不動産の一部等を約48億3千万ドルで買収するとして2016年7月に合意していた。買収の手続きは2017年3月までに終える予定であった。
- ベライゾンはYahoo!の発表2日前に今回の件を把握した、限られた情報しか得ていないと取材に対してコメント。
- ベライゾンはステークホルダー及びベライゾン全体の利害の観点より、捜査進捗を受け事態を評価するとコメント。*9
- Yahoo!の事業売却のオークション入札参加者に対して、今回の件に関する情報開示を十分に行われていなかったといった話がある。*10
- 2016年7月時点でYahoo!CEO マリッサ・メイヤー氏がこの件を認識していたと報道されているが、今回の漏えいなのか別件(Darkwebで販売されていたもの等)かは明確になっていない。
- Yahoo! CEOは社内の調査委にメンバーとして参画し、7月時点で把握していたと報道されている。
- ベライゾン傘下AOLのCEOはこの事案による影響に対してのコメントは避けたものの、買収による合併には依然として前向きであることが報じられている。*11
Yahoo!提訴の動き
更新履歴
- 2016年9月25日 AM 新規作成
- 2016年9月25日 PM タイムライン記載の買収手続き完了の時期が誤っていたため修正
- 2016年9月26日 PM 続報を追記、一部誤植を訂正。
*1:米ヤフー 5億人情報流出 売却計画に影響も,毎日新聞,2016年9月24日アクセス
*2:米ヤフー情報流出 いずれかの国家関与か FBIが捜査,NHK,2016年9月24日アクセス:魚拓
*3:5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か,ITpro,2016年9月24日アクセス:魚拓
*4:Yahoo!が認めた不正アクセス発生の時期(2014年後半頃)とは一致しない。
*5:米ヤフー、5億件の情報流出 外国政府の関与示唆,朝日新聞,2016年9月24日アクセス
*6:米ヤフー、5億人情報流出 ハッカー攻撃、国家関与か,共同通信,2016年9月24日アクセス:魚拓
*7:米ヤフー、5億人分の情報流出 国家関与の攻撃か,日本経済新聞,2016年9月24日アクセス:魚拓
*8:米ヤフー、5億人の情報流出 日本では「被害なし」,日刊スポーツ,2016年9月24日アクセス:魚拓
*9:米ヤフーから5億件のユーザー情報流出 国家主導の攻撃か,BBC,2016年9月24日アクセス:魚拓
*10:米ヤフー「5億人分の個人情報流出」と発表 – ベライゾンはご機嫌斜め,WirelessWire News,2016年9月24日アクセス:魚拓
*11:米ベライゾン傘下AOLのCEO「ヤフー買収完了望む」,日本経済新聞,2016年9月27日アクセス:魚拓
*12:米ヤフー、ユーザー代表が個人情報流出で提訴,Reutors,2016年9月24日アクセス:魚拓
*13:米ヤフーを提訴=個人情報流出で−NYの男性,時事通信,2016年9月24日アクセス
*14:米ヤフーをユーザーが相次ぎ提訴−個人情報流出で顧客データ保護怠る,Bloomberg,2016年9月26日アクセス