ヤフー、ハッシュ化されたパスワード情報と秘密の質問、約148万件流出の可能性：対象ユーザーのパスワードは24日早朝にリセット

ヤフーは5月23日、5月17日に明らかにした同社サーバへの不正アクセスに関連し、148万6000件について、Yahoo! JAPAN IDに加え、ハッシュかされたパスワードと秘密の質問の一部が流出した可能性が高いと発表した。

[＠IT]

　ヤフーは5月23日、5月17日に明らかにした同社サーバへの不正アクセスに関連し、148万6000件について、Yahoo! JAPAN IDに加え「不可逆暗号化されたパスワード」と「パスワードを忘れてしまった場合の再設定に必要な情報」の一部が流出した可能性が高いと発表した。

　同社は5月17日、最大2200万件のYahoo! JAPAN IDが流出した可能性があると発表していた。4月2日の不正アクセスを受けて監視体制を強化していたところ、5月16日午後9時ごろに不審なログインを検知。最大2200万件のIDが抽出されたファイルが作成されたことが判明した。ただしこの時点では、パスワードや、パスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていないとしていた。

　しかしその後調査を続けたところ、2200万件のIDのうち148.6万件について、不可逆暗号化されたパスワード、つまりハッシュ化したパスワード情報と、パスワードを忘れてしまった場合の再設定に必要な情報の一部も流出した可能性が高いことを確認した。なお同社広報によれば、具体的にどのようなアルゴリズムを用いてハッシュ化していたか、またソルトの有無などについては、万一にも解読される可能性があってはならないため明らかにはできないという。

　また、秘密の質問を用いてパスワードを変更する際には、同時に生年月日も入力する必要があるため、その情報だけでログインすることはできないとしている（ただし、IDに数字を使い、誕生日などの情報を組み入れていた場合は、推測が容易な状況といえる）。

　同社はこの事態を踏まえ、23日19時から、秘密の質問を利用してパスワードを再設定する機能を一時的に停止した。さらに24日早朝をめどに、対象IDのユーザーのパスワードと秘密の質問をリセットする予定だ。当該ユーザーにはあらためて、再設定の手続きを取るよう求めている。

　さらに同社は、「もっと安全ガイド」を参照し、「ログインアラート」や「シークレットID」「ワンタイムパスワード」などの対策を講じるよう呼び掛けている。