米ヤフーの10億ID漏えい、あなたはまず「何」をすべきか:サイバー犯罪についての知識を共有することも重要
セキュリティ企業ESETが米ヤフーで発生した大規模データ漏えい事案の背景を解説。自身の対策および知見の共有を目的とする「ユーザーが実施すべき対策」を告知した。
スロバキアのセキュリティ企業ESETは2016年12月15日(現地時間)、米ヤフーがセキュリティインシデントに見舞われ、最大で10億件分のユーザーアカウントデータが漏えいした可能性がある本事案について、同社公式ブログで現状を解説した。以下、内容を抄訳する。
ヤフーは2016年12月14日、同社のTumblr公式アカウントで、この情報漏えいは「2013年8月に発生したと考えられている」ことを明らかにした。同社は2016年9月末にも、2014年にデータ侵害を受け、約5億人のユーザーアカウントが影響を受けたと発表しているが、今回明らかにされた2013年8月のインシデントはこれとは無関係と述べている。
ヤフーの最高情報セキュリティ責任者(CISO)であるボブ・ロード氏によると、この2013年8月のインシデントでは、「氏名、電子メールアドレス、電話番号、誕生日、パスワードのハッシュ値などの情報が盗まれた。さらに、犯人がセキュリティ上の質問と答えにアクセスしたケースもある」という。その一方で、銀行口座や決済関連のデータは、ヤフー側のシステムに保存されない仕組みとしていることから、「これらのデータにはアクセスされていないと考えている」と述べた。
さらにロード氏は、2013年8月のインシデントは、2014年のデータ侵害に関する調査の過程で発覚したと付け加えた。「現在進行中の調査に基づき、私たちは、第三者がクッキーの偽造方法を知るために、ヤフーのプロプライエタリコードに不正アクセスしたと考えている。外部のフォレンジック専門家は、偽造クッキーが取得または使用されたと考えられるユーザーアカウントを特定している。
私たちは、影響を受けたアカウント保有者に通知するとともに、偽造クッキーを無効にした。この不正行動の一部が、2014年のデータ窃盗の犯人とみられる、国家の支援を受けた何者かと関連していると考えている」(ロード氏)。
この対処のためにユーザーが実行すべきことは以下の通り。
- Yahoo!アカウントのパスワードを変更し、それと同じ、または類似する文字列を使っている他のアカウントのパスワードも変更する
- Yahoo!アカウントのセキュリティ上の質問と答えを更新し、上と同様に他のアカウントについても更新する
- 自分の全てのアカウントについて、不審な挙動がないかを監視する
- 電子メール、電話、ソーシャルメディア、Webなど、さまざまなチャンネルで自分に対して一方的に発信されていないかを確認する
- 詐欺の疑いがある電子メールのリンクをクリックしたり、添付ファイルをダウンロードしたりしない
関連記事
Yahoo!情報漏えいに相次ぐDDoS攻撃、2016年9月のセキュリティ事件まとめ
2016年9月のセキュリティクラスタでは、日本の多数のWebサイトが対象となったDDoS攻撃やMySQLのゼロデイ脆弱(ぜいじゃく)性、米Yahoo!からの大量のアカウント情報漏えいが話題となりました。
脆弱なホストを狙った不正中継を見抜く
猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します(編集部)
“適度な不信感”をベースに考える「人間のセキュリティ」
情報セキュリティの世界では、「人間こそ最大の弱点である」ということがしばしばいわれます。実際、過去に起きた数々の情報漏えい事件を見ても、内部犯行や単純なヒューマンエラーなど、人間がその原因となっていることが少なくありません。人間にまつわるセキュリティを考える上では、どのような理論や考え方をベースにすればよいのでしょうか。心理学や行動科学、犯罪学などの知見を参考にしながら人的セキュリティについて考える連載をスタートします。
攻撃者が狙うのはデータベース、それなのに「データベース保護の対策が見落とされがち」ではありませんか?
企業活動において重要なのは何か。セキュリティ対策において「データベースの保護が見落とされがち」と、オラクルは警鐘を鳴らしている。データベースセキュリティの“考え方”をキーパーソンに確認する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。