piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Yahoo!の情報漏えいについてまとめてみた

2016年9月22日、米国のYahoo!は同社が扱うサービスから大量の個人情報が盗まれたことを発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時 アクター 出来事
遅くとも2014年後半 攻撃者 Yahoo!のネットワークから個人情報を窃取。
2016年7月 ベライゾンYahoo! 買収に関する合意完了
2016年8月1日頃 DarkWeb上でYahoo!の個人情報が大量に売買されていると報道。
2016年9月22日 Yahoo! 個人情報の漏えいを発表。
2017年3月まで ベライゾンYahoo! 買収手続きを完了する計画
公式発表

何が漏れたのか

Yahoo!は次の項目が含まれる個人情報が盗まれた恐れがあると発表している。

  • 氏名
  • メールアドレス
  • 電話番号
  • 生年月日
  • ハッシュ化されたパスワード
  • セキュリティの質問と答え

この内、セキュリティの質問と答えは暗号化されているもの、されていないものが混在している。またパスワードの多くはbcryptによりハッシュ化されている。

また盗まれた情報に次の項目は含まれていないと発表している。金銭に関係する情報はシステムで保持されていない。

  • 保護されていないパスワード
  • クレジットカード情報
  • 銀行口座情報

何件漏れたのか

  • 調査中ではあるが、Yahoo!は少なくとも5億件のユーザー情報が盗まれたと見ている。
  • 5億件の漏えいはこれまで明らかになっている単一企業の事例では過去最大規模。
  • Yahoo!の登録アカウント総数は約10億件。*1

ここ最近の情報が盗まれた大規模な事例(BBCより)

漏えいしたWebサービス 漏えい件数
MySpace 約3億5900万件
LinkedIn 約1億6400万件
Adobe 約1億5200万件

情報漏えいがわかった経緯

  • Yahoo!の内部調査により今回の事態を把握した。
  • この内部調査は2016年8月のYahoo!アカウントデータ販売の発覚がキッカケ。
  • Yahoo!が2年間もこの事態を把握できなかった原因は明らかにされていない。*2

内部調査のキッカケとなったアカウント売買


  • DarkWeb上のマーケット(TheRealDeal Market)で「peace_of_mind」を名乗る人物がYahoo!の個人情報を売買していた。*3
  • peace_of_mindは販売データは2012年時点のデータと主張している。*4
  • 内部調査は約2億8千万件の個人情報を売買する動きに関する情報を真偽不明としつつ確認したことをキッカケとして行われた。
  • 内部調査では2016年8月に売買されていた件に関係する情報は確認ができなかった。*5

この不正アクセスを行ったのは誰か

  • Yahoo!はいずれかの国家の支援を受けたものによる行為であると発表。
  • Yahoo!は発表時点で「国家支援を受けた」ことが判断できる情報は公開していない。

Yahoo!のこの発表に対し、BBC北米テクノロジー担当者は次のコメントを掲載している。

国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう? 国家が支援する攻撃だという見解には、どういう証拠があるのか?

http://www.bbc.com/japanese/37448066

Yahoo!の対応

Yahoo!は今回の件を受け、次の対応を行うと発表している。

  • 電子メールによるユーザーへの通知 (Yahoo Security Notice)
  • 暗号化されていないセキュリティの質問と答えを用いたアカウントへのアクセス停止
  • 2014年以降パスワードを変更していないユーザーへの勧告
  • システムの強化、及びユーザーアカウントへの不審なアクセスの検出
  • 司法当局との緊密な連携
  • ユーザー向けFAQサイトの設置 (Account Security Issue FAQs)

またユーザーへは次の注意を促している。合わせてYahoo!Account Keyの利用も推奨している。

  • Yahoo!に使用したものと同じセキュリティの質問と答えを使用しているのであれば変更すること。
  • 不審な活動痕跡がないかアカウントの確認をすること。
  • 要求していないにもかかわらず、個人情報を聞かれる、あるいはそれを尋ねてくるWebページには注意すること。
  • 不審な電子メールのリンクのクリックや添付ファイルの開封はしないこと。

司法当局の動き

  • FBIは22日に声明。「大変深刻に受け止めており、原因と犯人を突き止める。」*6
  • 現在のYahoo!のネットワーク上では、同社が指摘する国家を背景とした攻撃者は確認できていない。

Yahoo!Japanへの影響

  • Yahoo!Japan広報室によればYahoo!とはほぼ独立した運営であり、今回の件による影響はないと発表。*7
  • Yahoo!JapanのFacebookページでも同様のコメントを掲載している。
  • Yahoo!Japanへの取材によれば、Yahoo!とは人材、技術面での交流がある程度であり、別会社の別サービスとコメント。*8

日本のユーザーへの影響

Yahoo!買収への影響

  • ベライゾンYahoo!のポータル、広告、不動産の一部等を約48億3千万ドルで買収するとして2016年7月に合意していた。買収の手続きは2017年3月までに終える予定であった。
  • ベライゾンYahoo!の発表2日前に今回の件を把握した、限られた情報しか得ていないと取材に対してコメント。
  • ベライゾンステークホルダー及びベライゾン全体の利害の観点より、捜査進捗を受け事態を評価するとコメント。*9
  • Yahoo!の事業売却のオークション入札参加者に対して、今回の件に関する情報開示を十分に行われていなかったといった話がある。*10
  • 2016年7月時点でYahoo!CEO マリッサ・メイヤー氏がこの件を認識していたと報道されているが、今回の漏えいなのか別件(Darkwebで販売されていたもの等)かは明確になっていない。
  • Yahoo! CEOは社内の調査委にメンバーとして参画し、7月時点で把握していたと報道されている。
  • ベライゾン傘下AOLのCEOはこの事案による影響に対してのコメントは避けたものの、買収による合併には依然として前向きであることが報じられている。*11

Yahoo!提訴の動き

  • ニューヨーク在住の男性が23日に個人情報の保護が十分でない等としてYahoo!を提訴。*12
  • 男性は漏えいした米国内のユーザーを代表し、カリフォルニア州サンノゼの連邦裁判所で提訴。
  • 損害賠償請求も含まれているが具体的な金額は明らかにされていない。
  • 同様の訴訟は同じくカリフォルニア州イリノイ州、サンディエゴで起こされている。*13 *14

更新履歴

  • 2016年9月25日 AM 新規作成
  • 2016年9月25日 PM タイムライン記載の買収手続き完了の時期が誤っていたため修正
  • 2016年9月26日 PM 続報を追記、一部誤植を訂正。

*1:米ヤフー 5億人情報流出 売却計画に影響も,毎日新聞,2016年9月24日アクセス

*2:米ヤフー情報流出 いずれかの国家関与か FBIが捜査,NHK,2016年9月24日アクセス:魚拓

*3:5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か,ITpro,2016年9月24日アクセス:魚拓

*4:Yahoo!が認めた不正アクセス発生の時期(2014年後半頃)とは一致しない。

*5:米ヤフー、5億件の情報流出 外国政府の関与示唆,朝日新聞,2016年9月24日アクセス

*6:米ヤフー、5億人情報流出 ハッカー攻撃、国家関与か,共同通信,2016年9月24日アクセス:魚拓

*7:米ヤフー、5億人分の情報流出 国家関与の攻撃か,日本経済新聞,2016年9月24日アクセス:魚拓

*8:米ヤフー、5億人の情報流出 日本では「被害なし」,日刊スポーツ,2016年9月24日アクセス:魚拓

*9:米ヤフーから5億件のユーザー情報流出 国家主導の攻撃か,BBC,2016年9月24日アクセス:魚拓

*10:米ヤフー「5億人分の個人情報流出」と発表 – ベライゾンはご機嫌斜め,WirelessWire News,2016年9月24日アクセス:魚拓

*11:米ベライゾン傘下AOLのCEO「ヤフー買収完了望む」,日本経済新聞,2016年9月27日アクセス:魚拓

*12:米ヤフー、ユーザー代表が個人情報流出で提訴,Reutors,2016年9月24日アクセス:魚拓

*13:米ヤフーを提訴=個人情報流出で−NYの男性,時事通信,2016年9月24日アクセス

*14:米ヤフーをユーザーが相次ぎ提訴−個人情報流出で顧客データ保護怠る,Bloomberg,2016年9月26日アクセス