ヤフーは9月26日、「Yahoo!オークション」(ヤフオク)で、ユーザーのIDが何者かに乗っ取られ不正利用され、ユーザーから身に覚えのない出品手数料などを徴収していたとし、被害にあったユーザーに対して被害額を補償すると発表した。分かっているだけで約5000件のIDが被害にあっており、今後も増える可能性がある。
5月ごろから同社に対して「出品した覚えのない商品が自分のYahoo!IDで出品され、出品手数料が引き落とされている」といった問い合わせが急増し、調査したところ、中国の特定のIPアドレスから、大量のログインがあったことを確認した。
そのIPアドレスからヤフオクに対し、約150万件の文字列を使って数秒に1回の頻度でログインが試みられており、そのうち約4.3%(約6万5000)の文字列がYahoo!のIDと合致していた。パスワードは「1〜2回のトライで合致していたものが多く、ログイン可能な確率は高かった」(同社広報部)という。
150万の文字列の9割以上がYahoo!IDと合致せず、「-」「.」などYahoo!IDで利用できない記号が含まれたIDもあったため、同社からIDやパスワードがもれた可能性はないとしている。同社は「他社サービスのIDリストがもれ、他社サービスと同じIDやパスワードを利用しているユーザーが被害にあったのではないか」と推測している。
乗っ取られたIDから主に出品されていたのは偽ブランド品で、IDの持ち主のユーザーに対して、出品手数料などが請求されていた。落札された商品は、落札者の元に問題なく届いていたという。
同社はこれまで、被害にあったユーザーからの問い合わせに対し「補償は行わない」などと説明していたが、不正アクセスを確認したため、被害額を補償することにした。「これまで問題のある対応をしてしまったユーザーには申し訳ない」と謝罪している。
同社に対して被害を申告していたユーザーのうち、メールアドレスなど連絡先が分かる約5000件に対して、9月18日に謝罪と返金を知らせるメールを送信。1人当たりの返金額はまちまちで、利用状況などを精査して今後確定するという。
被害にあったユーザーからの申告は今後も増える可能性もあり、随時対応するとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR