米Yahoo!のユーザー情報大量流出、社内対応に不備が発覚

社外調査委員会の報告では「特定の上級幹部が適切な認識を持たず、十分な調査を行わなかったことから、適切な対応を取ることができなかった」と結論付けた。

» 2017年03月03日 09時29分 公開
[鈴木聖子ITmedia]
photo Yahoo!

 米Yahoo!のユーザー情報が大量に流出し、偽造cookieを使ってアカウントに不正侵入された事件について、Yahoo!が社外の独立調査委員会による調査結果報告書を米証券取引委員会(SEC)に提出した。

 報告書によると、同社は2016年9月、約5億件のユーザーアカウント情報が2014年にYahoo!のネットワークから盗まれたと発表。2016年12月には、10億件以上のユーザーアカウント情報が2013年8月に盗まれていたことが判明した。この2つは別々の事件だった公算が大きいとしている。

 同社は「国家がスポンサーする攻撃者」がアカウント管理ツールを悪用して特定のユーザーアカウントに不正アクセスしたと判断し、標的とされた26人のユーザーに通知したという。

 2015年〜2016年には、同じ攻撃者が絡むcookie偽造攻撃が発生し、約3200万人のユーザーアカウントが被害に遭っていたことが分かった。

photo Yahoo!が提出した調査結果報告書

 しかし「2014年12月の時点で、ユーザーの個人情報を含むデータベースのバックアップファイルのコピーが何者かに引き出されたことを、情報セキュリティチームは把握していた。それにもかかわらず、特定の上級幹部が適切な認識を持たず、十分な調査を行わなかったことから、適切な対応を取ることができなかった」と調査委員会は指摘し、その原因として「コミュニケーション、マネジメント、調査、社内報告の不備」を挙げている。

 この責任を取って、マリッサ・メイヤー最高経営責任者(CEO)には2016年の賞与を支給しないと表明した。また、同社の法務顧問だったロナルド・ベル氏が3月1日付で辞任したことも明らかにした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ