2013年5月17日、Yahoo!JAPAN(以下ヤフー)は最大2200万件のID情報と、148.6万人分のパスワードが不正に流出した可能性があるとの発表を行いました。
ヤフーでは同年4月2日にも、不正アクセスにより127万件のID情報が流出しており、短期間で二度にわたり情報漏洩を起こしてしまった“セキュリティ対策の甘さ”がメディア等で大きく取り上げられることとなりました。
今回は、このヤフー顧客情報漏洩事件を基に、ユーザーが講じるべき自衛策について考えてみたいと思います。
事件概要
2013年5月16日、ヤフーに対し不正アクセスが行われ、翌17日サーバと外部からの通信量を精査した結果、最大2200万件のID情報流出の可能性が高いという発表が行われました。
さらに、同月23日の追加調査報告では2200万件中148.6万件について、不可逆暗号化されたパスワードと、パスワードを忘れた際に必要となる一部の情報(秘密の質問、答え等)が漏洩した可能性があることも発表されたのです。
ちなみに、不可逆暗号化されたパスワードとは、利用者がID登録時に設定したパスワードを暗号化し、データ化した情報の事を指します。
このID情報流出に対し、ヤフーでは「IDはサービス上表示される誰でも見ることの出来る公開情報であり、ユーザーの個人情報は一切含まれていない」とし、対象の利用者へパスワードの再設定を求める対応を行いました。
情報漏洩はどうして起こったのか?
ヤフーから発表された事件に関する資料では「監視体制を強化していたところ、IDを管理しているサーバに外部からの不正アクセスがあったことが判明」と記されていますが、事件後犯人の特定には至っていません。
4月2日に発生した不正アクセス後に実施した対策の中で、関連するアカウントの認証の再設定を社内徹底できていなかったとの報道もありますが、4月の事件後に行われた具体的対策や、5月に起きた事件でのサーバ管理状況などは公にはなっていません。
つまり、二度にわたる不正アクセス、情報漏洩の根本的な原因は解明できていないのです。
情報漏洩の結果何が起こったのか
結果として、今回の漏洩事件で漏れた情報がID及び不可逆的パスワードと、それに付随する情報であった事から、幸いにも大きな被害等は確認されておりません。
IDとはヤフーを使う際に使用する文字列であり、サイト上に表示されるものであるため、ID情報単体が漏洩したことによる実質的被害は起こりにくいとされています。
同時にパスワードや生年月日等の情報を抜き取られていた場合には、登録者以外が容易にアカウントにアクセス出来てしまうため、かなりの混乱が起きたのではないかと予想されていますが、現状を見る限りそのような報告はされていません。
講じるべき自衛策とは
IDとパスワードの再設定に必要な情報が漏洩した事により、ヤフーでは事件発覚直後からIDからパスワードを割り出すための機能、秘密の質問等のシステムを停止しています。
ちなみに、IDからパスワードを割り出すためには、秘密の質問の答えと同時に利用者が登録した生年月日等の情報も必要になってくるため、システム停止以前であってもアカウントが不正ログインにより乗っ取られる心配はないとの見解が示されていました。
利用者側に推奨される防衛対策としては、利用頻度が少なくポイント等も溜まっていないアカウント、つまりは替えの効くようなアカウントについては、アカウント自体の削除(引き続き利用をする場合には新しいアカウントの新規作成)、そしてポイント等が溜まっている替えの効かないアカウントの場合にはパスワードの再設定が提案されています。
パスワードの使い回しは危険
今回の事件で漏洩したIDは「識別情報」であったため、直接顧客に対して被害が及ぶことはありませんでしたが、識別情報に合わせパスワード等の認証情報が奪われた場合は、アカウントの乗っ取りや、カード情報の不正利用等が起こる可能性があります。
また、ヤフーから流出した情報を基に、他のネットサービスにおいて不正ログイン等が起こる可能性もあり、二次・三次被害を心配する声もあります。
ここで、考えておくべき自衛策が認証情報の使い回しをしないということです。
キャッシュカードやクレジットカードの暗証番号や各種サービスログインの際のパスワードに共通の英数字を使用することは被害拡大を招きます。
個人情報の売買が世界中で行われている現在においては、パスワードの使い回しを行わず、一定期間使用したパスワードは変更するなどの自衛策が必要なのです。
まとめ
情報漏洩の可能性を確認後、ヤフーでは速やかに状況把握、利用者への報告が行われました。短期間で二度にわたり不正アクセスを許してしまったセキュリティ対策の不備は褒められたものではありませんが、インシデント後の対応により、事件の鎮静化は早かった印象があります。
WEB上で簡単に利用できるサービスが増え、私たちの暮らしは数年までは考えられない程の利便性向上が実現しています。
しかし、その反面、守らなければならない情報は増加しています。設定したパスワードを忘れないよう、ある程度決まった英数字を使用している人は多いのではないでしょうか。
便利なサービスにはメリットもデメリットも存在するということをしっかりと意識し、被害に遭わないような自己防衛が必要なのです。
関連事項
米ヤフーや、ヤフージャパン子会社のYJFX!などでも、ユーザー情報の流出が起こっています。
▷米ヤフー|2014年のサイバー攻撃でユーザー情報5億人分が流出したと発表
▷米ヤフー|新たに10億人分のアカウント情報流出を公表
▷ワイジェイFX(YJFX!)元従業員の持ち出しにより顧客情報18万件が流出