2013年5月24日金曜日

ヤフー、流出した「Yahoo! JAPAN ID」2,200万件のうち148万件はパスワードと「秘密の質問」も

 これは損害賠償を求められても仕方がない話でしょう。
 このような無料なサービスは、いや無料ではなくても、すべてのウェブベースのサービスは、どれだけの危険性が潜んでいるかを強く意識させられる事件です。
 セキュリティが最強のはずのサーバーはなぜかいとも簡単にハッキングできてしまっているかのように聞こえます。業界の大物ですらこの程度のレベルですので、無数の小さい業者から提供されているものはどれだけ弱いでしょうか。
 今誰にも、パスワードの管理で悩んでいるはずです。この事件により、150万近くの人たちは、また新しいパスワードを考え、それをいかに覚えるかに奮起しなければいけなくなります。当然一部の人はニュースを見ていないか、面倒くさいから何もしないでしょうから、その内被害をこうむることになり兼ねません。
 SF映画によくあるような、ネットを通じて様々な犯罪や、国や組織による不当な操作は、もはやフィクションではなく、現実になりつつあります。

 (下の記事の魚拓キャッシュはこちらです)

ヤフーは、各種「Yahoo! JAPAN」サービス用アカウント「Yahoo! JAPAN ID」のユーザー名最大2,200万件が流出した問題について、対象 ID のうち148万6,000件は暗号化済みパスワードとパスワード再設定用の「秘密の質問」も流出したとみられると発表した。この状況を受け、ヤフーは秘密の質問によるパスワード再設定機能を停止し、対象 ID のパスワードと秘密の質問をリセットする。

この問題は、Yahoo! JAPAN 用サーバーに5月16日21時ごろ不正アクセスがあり、Yahoo! JAPAN ID のユーザー名の入ったファイルがサーバー上で作成されて外部に流出したもの。ヤフーが5月17日に問題を公表した際には、ファイルに含まれていた情報は一般公開されている Yahoo! JAPAN ID だけで、パスワードなどは入っていないとしていた。しかし、その後の調査で不可逆暗号化されたパスワードと、パスワード再設定に必要な秘密の質問の一部が流出した可能性が高いことを確認したという。

今回パスワードなどが流出したと思われる Yahoo! JAPAN ID については、5月24日早朝にパスワードと秘密の質問を強制的にリセットする。該当 ID ではログインできなくなってしまうため、ユーザーはログイン時に表示される案内にしたがって自ら再設定を行う必要がある。ヤフーは、ユーザーの ID が流出したかどうかを調べるツールを公開して確認を呼びかけるとともに、各種セキュリティ強化ツールを案内している。

ヤフーによると、流出した情報だけでは Yahoo! JAPAN にログインできないという。しかし、Yahoo! JAPAN ID に対する不正ログイン攻撃が成功しやすくなるうえ、同じ ID などをヤフー以外のサービスで使い回しているユーザーは、そのサービスに対する不正ログイン攻撃でセキュリティが破られる可能性が高まることから注意が必要だ。

0 件のコメント:

コメントを投稿