Yahoo続報:さらに悪いニュースが

2016年9月28日

Yahooから5億人分もの認証情報がハッキングによって流出した件は、一段落したのでしょうか。皆さんは、とりあえず一息ついたところでしょうか。パスワードは変更しましたか?使っていないアカウントは削除しましたか?

yahoo-bigger-problem-featured

「Yahooアカウントは作ったことがないから関係ないし」「今どきYahooアカウントを持っている人なんている?」…そんな皆さんも、ご自分のアカウントを調べた方がよいかもしれません。もしかすると、Yahooアカウントを持っているかもしれないのです、持っていることさえ知らずに。

これは、どういうことか?

Google Apps for Workをご存じでしょうか。使ったことがある、という人は?これは企業向けのグループウェアで、メールなどのサービスが含まれています。実は、Yahooも似たようなサービス(Aabaco Small Business)を提供しています(英語サイト)。Googleの知名度に比べると知られていませんが。

では、これを通じてどれぐらいの企業がハッキングの影響を受けた可能性があるのでしょうか。Graham Cluleyの最近のブログ記事によると、50万以上のドメインがメールプロバイダーとしてYahooを使用しています。いずれかのドメインが、Yahoo曰く、国家主導の大規模な情報盗取に巻き込まれている可能性があります。

screen-shot-2016-09-26-at-1-24-18-pm

Kaspersky Labのグローバル調査分析チーム(GReAT)プリンシパルセキュリティリサーチャーであるコート・バウムガートナー(Kurt Baumgartner)は、次のように述べています。「この状況は、Googleに対するAurora APT攻撃を思い出させます。2009年に発生し、2010年に公表された事件です。2つの流出事件を比べると、今が2016年であること、利用者への通知がなされたのが大規模な流出から数年後であること、それも別の組織が問題を公表してからようやくの通知であることに、驚きを禁じ得ません。この種の情報流出は、すべての企業が業界のベストプラクティスやセキュリティ技術を取り入れ、サイバーセキュリティを率先して実現しなければならない理由を浮き彫りにします」

では、どうすればよいか?

情報流出が起きたのは2014年ですが、今になってようやく、流出の規模が私たちの知るところとなりました。犯罪者は、盗み出した情報をじっくり調べる時間がありました。今やるべきことは、パスワードを変更すること、そしてHave I Been Pwned?(英語サイト)というサイトで、現在使っているメールアドレス、もう使っていないメールアドレス、過去に働いていた企業のメールアドレスをチェックすることです。アカウントが流出していなかったとしても、もう使っていないアカウントは削除した方がよいでしょう。Myspaceの情報流出などの事件を見ればわかるように、犯罪者はデータやログイン情報に興味を持っています。あなたが熱心に使っているサイトかどうかは、問題ではありません。私たち人間が怠け者で、パスワードを使い回すことを犯罪者は知っているのです。

バウムガートナーは、流出事件に巻き込まれた人に注意を呼び掛けています。「こうした事件に続いて起きる、ソーシャルエンジニアリングの手口に引っかからないようにしてください。流出に関する通知は、Yahooのメールサービスの利用者だけにYahoo!メールで送信されます。その通知には、リンクも記載されていなければ、ファイルも添付されておらず、個人情報を要求されることもありません。以上の点に注意してください」

これでYahooのハッキング物語はおしまい、とはならないようです。当ブログやThreatpostで最新情報をチェックしましょう。今後も当社は、この事件について取り上げていく予定です。