Yahooは、同社の交際相手検索サービス「Yahoo Personals」でセキュリティを強化することを明らかにした。これは、あるセキュリティ専門家が、同サイトメンバーのアカウントに潜入する方法を発見したのを受けての措置だ。
この件の根本的な問題点は、「Yahoo Personals」が、誕生日や郵便番号などの重要な個人情報の特定を容易にしていることにある。これらの情報は、メンバーが自分のパスワードをリセットするのにも使われる。これらのデータが盗まれた場合、不正なパスワードの変更やアカウントへのアクセスを防ぐ唯一の手段は、ペットの名前や趣味、または応援するスポーツチームを答えさせる「秘密の質問」だけになる。
インスタントメッセージ(IM)や電子メールの時代では、これらの質問の答えを聞き出すのは比較的簡単だとBennett Haseltonは言う。同氏は、インターネット上の言論の自由を支持するシアトル在住のフリープログラマで、今回の弱点を発見した。Haseltonは、電子メールをやりとりする中で「相手に怪しまれずに答えを聞き出せる質問ばかりだ」と指摘する。
ただし、この弱点の危険度は低い。一般的なハッキングよりも手間がかかるからだ。また見返りも少ない。Yahoo Personalsは、クレジットカード番号など、金銭をだまし取るために使われるような情報をメンバーのアカウントページには表示しない。また、多くのメンバーは、スクリーン名を使うため、個人情報の特定はさらに難しい。「アカウントに侵入するまでにかなりの時間と労力を要する」とアトランタのコンピュータセキュリティ会社SPI DynamicsのシニアリサーチエンジニアSacha Faustは言う。
それでもYahooは問題の解決を約束した。同社に問題を解決するよう注意を喚起したのはCNET News.comである。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」