米ヤフー情報流出：基本的なセキュリティ対策を怠っていたのではないか

　米Yahooから40万ものログイン情報が流出した件について米McAfeeは、「基本的なセキュリティの必要性を再認識」とコメントを発表している。ユーザーネームとパスワードが平文で掲載されていた。

　今回の情報漏洩は、Yahooのサーバ（dbb1.ac.bf1.yahoo.com）に対する基本的なSQLインジェクション攻撃によるものだ。今回の事件は、最近のものと同様にアカウントデータが暗号化されていない状態で保存されていることが問題視されている。

　McAfeeによれば、こうした種類の攻撃は多発しており、最近もLinkedInやeHarmonyも攻撃されていることが報道されている。こうしたことからMcAfeeは、今回の事件も、日々起こっている同様の攻撃の最新の一例に過ぎないとしている。今回攻撃を仕掛けたD33DS Co.は以下のような声明を発表している。

このサブドメインのセキュリティを管理している組織が、今回の事件を脅威としてではなく、目を覚ますためのきっかけとしてくれることを願っている。Yahooが所有するウェブサーバには多くのセキュリティホールが存在しており、これまでにその悪用によって、今回のケースより甚大な被害をもたらしたケースが数多く起こっている。

　McAfeeは、D33DSの方法論や動機に疑いの目を向けつつも、この声明の「後半は本当のことかもしれない」と指摘する。「YahooがSQLインジェクションのような基本的な攻撃に対する基本的な対策を怠っている事実については弁解が難しいかもしれない」とも批判している。

　McAfeeによれば、Yahooがこうした攻撃の被害を受けるのは初めてではないと説明する。最近5年間でも各種のサービスが攻撃を受け、被害も出ているという。

　今回のデータ流出で興味深いポイントとして、「＠yahoo.com」以外のユーザーネームやアカウントが流出していることを挙げている。教訓として、改めてパスワードの再使用に注意を払うべきと警鐘を鳴らす。

　特に人気のソーシャルネットワークで同じパスワードを使用することは危険と強調。今回の攻撃は主にYahooを狙っているが、入手したデータを使用することでAOLやMicrosoft、Google、Comcastなどを利用する特定のユーザーに被害を与えることが可能と指摘している。