米Yahooは米国時間12月13日に声明を発表し、匿名の攻撃者にアカウント情報を盗まれる事件が2013年8月に発生したことを明らかにした。その約1年後の2014年9月には、約5億件のアカウント情報が盗まれる事件が発生している。同社は後者の事件については、既に発表していた。
Yahooは2014年9月の不正侵入と2013年8月のセキュリティ侵害のつながりを確認できていない。
声明によると、ハッカーは名前、電子メールアドレス、電話番号、ハッシュ化されたパスワード(脆弱で簡単に突破できるMD5アルゴリズムを使用)、生年月日を盗んだ可能性があり、一部のケースでは、暗号化された、または暗号化されていないセキュリティの質問と答えも盗まれたおそれがあるという。
Yahooは、暗号化されていないセキュリティの質問と答えを既に無効にしており、影響を受けたアカウントへのアクセスにそれらが使われることはないとしている。
決済カードデータと銀行口座情報は別のシステムに保存されているので、今回の攻撃では盗まれていないとみられる。
ハッカーがYahooの秘密のソースコードを盗んで、パスワードなしでアカウントにアクセスする方法を開発した可能性があることを同社は認めた。
「現在も進行中の捜査で明らかになった情報から、われわれは、権限のない第三者が当社のプロプライエタリなコードにアクセスし、クッキーを偽造する方法を学習したと考えている」(同社)。クッキーを利用すると、認証情報をローカルに保存できる。
「偽造クッキーが取得された、または使われたとみられるユーザーアカウントが、外部のフォレンジック専門家によって特定された」(同社の声明)。
Yahooはクッキーも無効化した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
2024年、スマートウォッチはどう変わる?--AI機能強化、デザインも変化か 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス 
テレビを持たない若者たち--新たな体験で変化の兆しも