米Yahooは米国時間12月13日に声明を発表し、匿名の攻撃者にアカウント情報を盗まれる事件が2013年8月に発生したことを明らかにした。その約1年後の2014年9月には、約5億件のアカウント情報が盗まれる事件が発生している。同社は後者の事件については、既に発表していた。
Yahooは2014年9月の不正侵入と2013年8月のセキュリティ侵害のつながりを確認できていない。
声明によると、ハッカーは名前、電子メールアドレス、電話番号、ハッシュ化されたパスワード(脆弱で簡単に突破できるMD5アルゴリズムを使用)、生年月日を盗んだ可能性があり、一部のケースでは、暗号化された、または暗号化されていないセキュリティの質問と答えも盗まれたおそれがあるという。
Yahooは、暗号化されていないセキュリティの質問と答えを既に無効にしており、影響を受けたアカウントへのアクセスにそれらが使われることはないとしている。
決済カードデータと銀行口座情報は別のシステムに保存されているので、今回の攻撃では盗まれていないとみられる。
ハッカーがYahooの秘密のソースコードを盗んで、パスワードなしでアカウントにアクセスする方法を開発した可能性があることを同社は認めた。
「現在も進行中の捜査で明らかになった情報から、われわれは、権限のない第三者が当社のプロプライエタリなコードにアクセスし、クッキーを偽造する方法を学習したと考えている」(同社)。クッキーを利用すると、認証情報をローカルに保存できる。
「偽造クッキーが取得された、または使われたとみられるユーザーアカウントが、外部のフォレンジック専門家によって特定された」(同社の声明)。
Yahooはクッキーも無効化した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」