米ヤフー、10億件超のアカウント情報が流出--2013年の攻撃で

　米Yahooは米国時間12月13日に声明を発表し、匿名の攻撃者にアカウント情報を盗まれる事件が2013年8月に発生したことを明らかにした。その約1年後の2014年9月には、約5億件のアカウント情報が盗まれる事件が発生している。同社は後者の事件については、既に発表していた。

　Yahooは2014年9月の不正侵入と2013年8月のセキュリティ侵害のつながりを確認できていない。

　声明によると、ハッカーは名前、電子メールアドレス、電話番号、ハッシュ化されたパスワード（脆弱で簡単に突破できるMD5アルゴリズムを使用）、生年月日を盗んだ可能性があり、一部のケースでは、暗号化された、または暗号化されていないセキュリティの質問と答えも盗まれたおそれがあるという。

　Yahooは、暗号化されていないセキュリティの質問と答えを既に無効にしており、影響を受けたアカウントへのアクセスにそれらが使われることはないとしている。

　決済カードデータと銀行口座情報は別のシステムに保存されているので、今回の攻撃では盗まれていないとみられる。

　ハッカーがYahooの秘密のソースコードを盗んで、パスワードなしでアカウントにアクセスする方法を開発した可能性があることを同社は認めた。

　「現在も進行中の捜査で明らかになった情報から、われわれは、権限のない第三者が当社のプロプライエタリなコードにアクセスし、クッキーを偽造する方法を学習したと考えている」（同社）。クッキーを利用すると、認証情報をローカルに保存できる。

　「偽造クッキーが取得された、または使われたとみられるユーザーアカウントが、外部のフォレンジック専門家によって特定された」（同社の声明）。

　Yahooはクッキーも無効化した。