ヤフーは本日、3ヶ月間で2度目の大規模ハッキング被害が発生したことを発表しました。ヤフーの最高情報セキュリティ責任者であるボブ・ロード氏は、同社のTumblrアカウントへの投稿で、2013年に10億件以上のユーザーアカウントのデータが不正な第三者によってアクセスされたことを明らかにしました。これは、ヤフーが9月に別のデータ侵害により5億件のユーザーアカウントが影響を受けたことを認めた後のことです。

ヤフーがハッキングに関して初めて疑念を抱いたのは先月、法執行機関がヤフーのユーザーアカウント情報であると主張する第三者からデータファイルを提供した時でした。その後、ヤフーは外部のフォレンジック専門家の協力を得て調査を開始し、それが実際にはユーザーのデータであることを確認しました。

ヤフーによれば、影響を受けたアカウントからは電子メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード（MD5を使用）、場合によっては暗号化または暗号化されていないセキュリティの質問と回答などのデータが盗まれた可能性があるという。

しかし、今回のハッキングに関して最も注目すべき点は、Yahooがデータの盗難方法を未だ特定していない点だろう。「今回の盗難に関連する侵入経路を特定できていません」とロード氏は述べている。しかし、Yahooは今回のハッキングは9月のハッキングとは別のものだと考えている。

Yahoo!は、影響を受ける可能性のあるユーザーに通知し、アカウントのセキュリティ保護策を講じていると述べています。また、暗号化されていないセキュリティの質問と回答を無効化し、アカウントへのアクセスに使用できないようにしました。

しかし、事態はさらに悪化しています。Yahooは本日、第三者がYahooのコードを利用してクッキーを偽造し、パスワードを入力せずにユーザーアカウントにアクセスできたことも発表しました。

また、当社は以前、外部のフォレンジック専門家が、侵入者がパスワードなしでユーザーのアカウントにアクセスできる可能性のある偽造Cookieの作成について調査中であることを公表しました。現在進行中の調査に基づき、権限のない第三者が当社の独自コードにアクセスし、Cookieの偽造方法を入手したと考えられます。

外部のフォレンジック専門家は、偽造Cookieが取得または使用されたと考えられるユーザーアカウントを特定しました。影響を受けたアカウント所有者には通知し、偽造Cookieを無効化しました。この活動の一部は、2016年9月22日に当社が公表したデータ窃盗事件の犯人とみられる、国家支援を受けた同じ組織によるものと関連付けています。

言うまでもなく、これはヤフーにとって不調がさらに悪化した好例です。ヤフーは現在、ベライゾンとの買収契約締結に向けて準備を進めています。しかし、今回のハッキング事件の報道は、交渉プロセスにおいてベライゾンに有利な状況をもたらすだけであり、買収契約から完全に離脱したり、価格を大幅に引き下げたりするだけの力を持つことになるかもしれません。

アカウントが影響を受けたと思われる場合は、Yahoo!は直ちにパスワードを変更することを推奨しています。しかし、この時点で「本当にYahoo!アカウントが必要なのか？」と自問自答してみるのが賢明かもしれません。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。