米Yahoo、eメール・パスワード40万人分の漏洩を確認して謝罪―自分のアカウントが被害にあっているかチェックできる(gmailなども対象)

次の記事

NBAの現在:1億ドル級の契約締結も、いまや「電子署名」で行われている

yahoo-logo

Yahoo Voicesが侵入されてデータが盗まれた事件については現在調査中で未解明な点が多い。たとえばハッカーがYahooをターゲットにしたことに何か動機があったのかどうかも分かっていない。いずれにせよYahooはオンラインに平文テキスト・ファイルとして公開された40万人分のメール・アドレスとYahooサービスのパスワードは事実Yahooのサーバから盗まれたものだと公式に確認した。

確認と謝罪のコメントの中でYahooは盗まれたデータはYahoo! Contributor Network(ページのタイトルはYahoo! Voices。2010年に買収したAssociated Contentの後身)中の「古いファイル」だと述べた。また「有効なパスワードが公開されたアカウントは5%以下で、データが盗まれるに至った脆弱性については対処中だ」とも述べている。「対処中」であって「対処した」ではない点に注意。

Yahooのステートメントは以下のとおり。

われわれはYahoo! Contributor Network (以前のAssociated Content)のサーバ中に存在した約40万人分のユーザー名(Yahooメール以外の他社のメールアドレスを含む)が7月11日に盗まれたことを発見した。盗まれたYahooアカウントのうち、5%弱については有効なパスワードも公開された。われわれはデータ漏洩の原因となった脆弱性を調査し、対策を講じつつある。対象となったユーザーのパスワードを変更し、そのユーザーが被害にあったおそれがあることを関連他社にも通知した。われわれは被害にあったユーザーに対してお詫びする。われわれはユーザーに対して定期的にパスワードを変更し、security.yahoo.comに掲載されているセキュリティ対策を実施するよう呼びかけてきた。

一方でセキュリティ専門家は公開されたデータを分析中だが、その一つ、Sucuri Malware Labsでは今回Yahooのサーバから盗まれたデータに分析を加え、主として被害にあったドメインやパスワードの特徴について興味ある結果を得た。これを見ると、ユーザーの多くがセキュリティ意識をいま少し高める必要があることがよくわかる。

Sucuriでは公開されたデータの中に特定のメール・アドレスが含まれているかどうかチェックするスクリプトを公開している。

Sucuriの分析によると、漏洩したドメインはYahooが一番多かったものの、他のドメインも相当数被害にあっている。漏洩したアドレスのうち135,599件はyahoo.comだったが、106,185件はgmail.com、54,393件はhotmail.com、24,677件がaol.com、8,422がcomcast.net、6,282がmsn.comだった。これらの数字は分析者によって多少バラツキがあるものの、概ね一致している。SucuriのCEO、Daniel Cidは「パスワードが漏洩したユーザーには複数のアメリカ政府機関も入っていた」と述べている。

漏洩したパスワードについては、1,666のアカウントで123456が用いられていた。passwordというパスワードは780件あった。MaggieとかMichaelとかいうありふれた人名、123123などの簡単な数列などもかなりの数が存在した。漏洩したパスワードの長さでは7文字のものがいちばん多かった。

Yahooが脆弱性について「対策中」と述べるにとどまったことをは各方面に警戒を呼び起こしている。Sony は昨年、PlayStationネットワークで膨大なデータ漏洩を経験しているが、対策が完了するまでに相当の時間がかかり、漏洩を拡大させて大いに面目を失した。

Yahooは今日にも取締役を開いて暫定CEOのRoss Levinsohnを正式にCEOに任命する予定だという報道が流れていたが、この緊急事態にCEO人事はとりあえず棚上げになったらしい。

YahooがAssociated Contentontを買収したときに当時のわれわれの編集長、Eric Shonefeldはなにを考えているのやらと批判したが、まさか千里眼で今日の事態を予測していたわけではあるまい。

[原文へ]

(翻訳:滑川海彦 Facebook Google+