米ヤフー、不正アクセス被害は3200万件--偽造クッキーでログイン

　米Yahooは、ハッカーによって不正にアクセスされたユーザーのアカウントが、過去2年間で3200万件に達することを明らかにした。ハッカーらは、パスワードなしで偽造クッキーを使ってログインしていたという。

　米国時間3月1日、Yahooは米証券取引委員会（SEC）に提出した資料のなかで、今回のハッカーが、2014年の漏えい事件に関与したとみられる「国家の支援を受けた者」とつながりがある可能性が高いと報告した。この事件では、約5億名のユーザーの情報が盗まれていた。

　「調査の結果により、われわれは第三者が不正にYahooの非公開のコードにアクセスし、特定のクッキーを偽造する方法を学習したと考えている」と、YahooはSECへの提出資料で説明している。また、アカウントのさらなる悪用を防ぐため、この偽造クッキーを無効にしたと伝えている。

　Yahooは偽造クッキーの存在を2016年12月の段階で明らかにしていたが、当時、2013年に起きた別の情報漏えいを特定したことも併せて報告していたため、偽造クッキーの件はあまり注目されなかった。2013年の情報漏えいでは、約10億人分のYahooのアカウントがハッキングされ、ユーザーの情報が盗まれていた。

　また、偽造クッキーが利用された範囲が明らかにされた3月1日、ハッキングに関する同社取締役会の調査結果をうけて、Yahooの最高経営責任者（CEO）のMarissa Mayer氏が1年分の賞与と2017年の株式報酬を受け取らないと発表した。さらに同日、Yahooの幹部役員と法務部門がセキュリティ問題を十分に追及しなかったと同社が発表した後、法務顧問を務めるRonald Bell氏が辞任することも明らかになった。

　なお、Yahooはこの件に関して、資料に記載されている内容以外のコメントを拒否している。