今日もまた、ヤフーのハッキングがありました。こちらは2013年にさかのぼります。今回のセキュリティ侵害では、10億のヤフーアカウントからユーザーデータが盗まれました。これ以上読み進めたくない場合でも、自分のためにパスワードを変更してください。今すぐ

2013年8月、ヤフーが「無許可の第三者」と呼ぶ人物が、ヤフーの10億件のアカウントに関連するデータを盗み出しました。これには「氏名、電子メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード[......]、場合によっては暗号化された、あるいはされていないセキュリティ上の質問と答え」が含まれます。

盗まれたデータに「平文で保存されたパスワード、支払い用カードデータ、銀行口座情報」が含まれていなかったのは幸いだった。しかし、盗まれたパスワードはMD5でハッシュ化されていただけで、侵入した時点ですでに解読は容易だった。

ヤフーと今できること

ヤフーでは、対象となるアカウントを保護するための措置を講じるとともに、ユーザーの皆様にお知らせしています。暗号化されていないセキュリティ質問と回答は、ハッカーがこの方法を使用して対象アカウントにアクセスするのを防ぐために無効化されました。

今できることは、Yahooや同じ（あるいは非常に似た）ログイン情報を使っている他のサイトでは、パスワードをより覚えやすいものに変更することです。ヤフーで使用したセキュリティ質問と回答を他の場所でコピーする場合も同様です。

Cookieを偽装してアカウントにアクセスするハッカーが出現

ヤフーは、10億人のユーザーデータの盗難を認めるとともに、無許可の第三者が「クッキーを偽造する方法を理解するために当社の独自コードにアクセスした」ことを明らかにしました。これにより、ハッカーはパスワードさえ必要なく、ヤフーのアカウントにアクセスできるようになった。

この問題を調査しているヤフーの「外部フォレンジック専門家」は、現在、該当するアカウントを特定し、偽造されたクッキーは無効化されました。興味深いことに、ヤフーは、犯人は「2016年9月22日に同社が公開したデータの盗難に関与したと考えられる、国家に支援されたアクターと同じ」だと主張しています。迷っている方にとっては、これはセキュリティ違反です。

Yahooは、数年前から明らかに深刻なセキュリティ問題を抱えているようだ。Verizonが近々Yahoo!の買収を検討していると言われているのも頷けます。おそらく、これほど多くの脆弱性を持つ企業に48億ドルの価値はないだろう。

Yahooのアカウントはまだ持っていますか？3年前にユーザーデータが乗っ取られたかもしれないのに、それを知らなかったと知ったら、どんな気持ちになりますか？ヤフーのパスワードを常に変更することに疲れていませんか？下のコメント欄で教えてください