米Yahoo!のユーザー少なくとも5億人の氏名、電子メールアドレス、ハッシュ化されたパスワードなどの情報が、2014年に盗まれていたことが発覚した。
米Yahoo!は9月22日、少なくとも5億人のユーザーのアカウント情報が同社のネットワークから2014年に盗まれていたことが、最近の調査で分かったと発表した。国家が関与する攻撃に遭ったと見方を示している。
盗まれたのはユーザーの氏名、電子メールアドレス、電話番号、誕生日、ハッシュ化されたパスワード(大半はbcryptを使用)などの情報。一部については、セキュリティ質問とその答えも流出しており、中には暗号化されていないものがあったという。
一方、保護されていないパスワードや決済カード情報、銀行口座情報などは、被害が確認されたシステムには保存されていなかったと説明している。
同社は被害に遭った可能性のあるユーザーに連絡を取ってパスワードの変更を促すとともに、暗号化されていなかったセキュリティ質問と答えは失効させてアカウントへのアクセスに使用できなくする措置を取った。
また、2014年以来パスワードを変更していないユーザーにも変更を呼び掛けたほか、他のアカウントでも同じパスワードやセキュリティ質問・回答を使い回していた場合は変更するよう勧告している。パスワードが不要になる同社の認証ツール「Yahoo Account Key」の使用も呼び掛けた。
国家が関与する不正侵入事案は業界全体で常態化しつつあるとされ、MicrosoftやGoogleもそうした攻撃の標的にされたと思われるユーザーに通知する措置を導入している。米Yahoo!がそうした通知を行ったユーザーは2015年12月以来、約1万人に上っているという。
Copyright © ITmedia, Inc. All Rights Reserved.