　ヤフーは9月26日、「Yahoo！オークション」（ヤフオク）で、ユーザーのIDが何者かに乗っ取られ不正利用され、ユーザーから身に覚えのない出品手数料などを徴収していたとし、被害にあったユーザーに対して被害額を補償すると発表した。分かっているだけで約5000件のIDが被害にあっており、今後も増える可能性がある。

　5月ごろから同社に対して「出品した覚えのない商品が自分のYahoo！IDで出品され、出品手数料が引き落とされている」といった問い合わせが急増し、調査したところ、中国の特定のIPアドレスから、大量のログインがあったことを確認した。

　そのIPアドレスからヤフオクに対し、約150万件の文字列を使って数秒に1回の頻度でログインが試みられており、そのうち約4.3％（約6万5000）の文字列がYahoo！のIDと合致していた。パスワードは「1～2回のトライで合致していたものが多く、ログイン可能な確率は高かった」（同社広報部）という。

　150万の文字列の9割以上がYahoo！IDと合致せず、「-」「.」などYahoo！IDで利用できない記号が含まれたIDもあったため、同社からIDやパスワードがもれた可能性はないとしている。同社は「他社サービスのIDリストがもれ、他社サービスと同じIDやパスワードを利用しているユーザーが被害にあったのではないか」と推測している。

　乗っ取られたIDから主に出品されていたのは偽ブランド品で、IDの持ち主のユーザーに対して、出品手数料などが請求されていた。落札された商品は、落札者の元に問題なく届いていたという。

　同社はこれまで、被害にあったユーザーからの問い合わせに対し「補償は行わない」などと説明していたが、不正アクセスを確認したため、被害額を補償することにした。「これまで問題のある対応をしてしまったユーザーには申し訳ない」と謝罪している。

　同社に対して被害を申告していたユーザーのうち、メールアドレスなど連絡先が分かる約5000件に対して、9月18日に謝罪と返金を知らせるメールを送信。1人当たりの返金額はまちまちで、利用状況などを精査して今後確定するという。

　被害にあったユーザーからの申告は今後も増える可能性もあり、随時対応するとしている。