ウェブ大手のヤフーが大規模なデータ漏洩に見舞われました。この漏洩は2014年に発生し、5億人のヤフーユーザーの情報がダークウェブ**に流出する結果となりました。

この盗難の規模は、最近の大規模なデータ流出事件を凌ぐもので、ヤフーのセキュリティ対策が注目されるところです。

何が破損したのでしょうか？

ヤフーは、「国家に支援された」ハッカーによってデータが盗まれたとして、セキュリティ侵害の確認と詳細を発表しました。2014年には、会社の名前、電子メールアドレス、電話番号、セキュリティ質問などの情報が盗まれました。

"ヤフーの最近の調査により、2014年後半に、特定のユーザーアカウント情報のコピーが、国家に所属するアクターと思われる人物によって、我々のネットワークから盗まれたことが確認されました。私たちは、法執行当局と緊密に連携し、影響を受ける可能性のあるユーザーに対して、アカウントの安全性をさらに高める方法を通知しています。"と述べています。

小さなプラス面としては、ヤフーが今回の情報漏洩に「保護されていないパスワード、支払いカードデータ、銀行口座情報」が含まれていないことを認識していたことです。とはいえ、ヤフーが発表した声明は、セキュリティ研究者から、事件の発生時期や侵害後の数日間における同社の行動について、さらなる疑問を投げかけることになるでしょう。

重要な質問をする

多くのセキュリティ研究者の疑問の筆頭に、"なぜこれほど大規模なハッキングを特定するのに時間がかかったのか？"というものがあります。これは、他の人からの質問にもつながりやすいと思います。なぜ、ヤフーがユーザーに情報漏洩を知らせるのにこれほど時間がかかったのでしょうか？

国家ぐるみの攻撃という概念も不可解だ。これまでのところ、ヤフーは情報漏洩を国家的行為と関連付ける証拠を提示していませんが、名前を伏せた3人の米国情報当局者がロイター通信に次のように確認しました。

"彼らは、この攻撃がロシア情報機関またはその指示で行動するハッカーに追跡された過去のハッキングと類似していることから、国家によるものであると考えた。"

今回の悪用は、これまでの国家的な攻撃と類似しているとはいえ、これらの悪用は通常、ユーザーの個人情報の公開につながるものではありません。さらに希少なのは、ダークウェブで発見されたアドバタイジング**された証明書である。

もう一つ興味深いのは、データ漏洩の一部を**した個人の身元です。MySpaceとLinkedInの侵害からデータを**捨てた「Peace of Mind」というユーザーも、積極的にデータを売りさばいています。

SentinelOneのセキュリティ戦略責任者であるJeremiah Gros**anは、「2014年末に情報が盗まれたことは分かっているが、ヤフーが最初に情報漏洩を知ったのはいつなのかは分かっていない。それは物語の重要なディテールです。"

Grossman氏は、Peace of Mindは「怪しいハッカー」なので、国家がスポンサーになっている可能性は低いと考えています。したがって、「これは、彼らのシステムで2種類のYahooエクスプロイトと2種類のハッカーグループを見る可能性があることを意味します」と述べています。"

「今回のサイバー攻撃で被害を受けた人々の数は膨大であり、セキュリティ・ハッキングの影響がいかに深刻であるかを物語っています...今回のハッキングの詳細についてはまだ分かっていませんが、個人情報を取得し取り扱う企業にとって、ここには痛烈で重要なメッセージが込められています。個人情報は鍵のかかった状態で安全に保護されなければならず、その鍵はハッカーが見つけることができないものでなければならない」。- エリザベス・デナム（英国情報コミッショナー

どの程度深刻なのか？

Yahooの声明では、盗まれたパスワードの大半がbcryptを使ってハッシュ化されていたことが確認されています。ハッシュ化とは、パスワードを固定長の「フィンガープリント」に変換し、ユーザーがログインしようとしたときに呼び出してチェックするプロセスである。ユーザー情報を保護するための基本的な方法ですが、いまだに一部のウェブサイトでは無視されているのが現状です。

Bcryptは、同じパスワードを保護してもハッシュがそれぞれ異なる「ソルト化」されているため、安全なハッシュ方式と考えられている。

パスワードはイラつくけど簡単に変えられる。母親の旧姓はそうはいかない。ハッカーは平文のセキュリティもクラックしている。セキュリティの問題は、過去の侵害を特定する役割を果たすため、長い間懸念されてきましたが、ほとんどのユーザーアカウントのログインシステムにおいて重要な機能であることに変わりはありません。

その結果、ヤフーは全ユーザーにパスワードリセットのメッセージを送り、ユーザーに呼びかけました。

• Yahooアカウントと同一または類似の認証情報を使用している他のアカウントのパスワードとセキュリティ質問と回答を変更してください。
• アカウントに不審な動きがないかを確認する。
• 個人情報の提供を求める未承諾の通信や、個人情報の提供を求めるウェブページへの誘導には、ご注意ください。
• 不審なメールからリンクをクリックしたり、添付ファイルをダウンロードすることは避けてください。

最初の提案については、十分に強調することができません。また、読者の皆様には、写真保存サービスFlickrやソーシャルブックマークサイトUSなど、ログイン情報を使用した可能性のある他のウェブサイトを検討されることをお勧めします。

Yahooのアカウントを作成した後、それが安全でないことに気づかなかったかもしれません。

大きなギャップ

ヤフーは今、史上最大の企業データ流出という歓迎されない栄冠を手に入れた。

• ヤフー - 5億人のユーザー認証情報
• MySpace - 3億5900万人
• LinkedIn - 1億6400万人
• アドビ - 152m
• バドゥー - 112m

2016年7月、米通信大手ベライゾンがヤフーのインターネット事業を50億米ドルで買収した。しかし、この債務不履行が買収に影響を与えることはないと思われます。

私たちのアドバイスは、大規模なデータ流出が発生した場合と同じです。パスワードをリセットする。また、今後数週間から数ヶ月の間、メールやテキストメッセージを再確認してください。アカウント情報は決して再利用しないようご注意ください。

バウチャーの再利用；一度もない。

あなたのアカウントが侵害されましたか？ヤフーが対策を講じるのに時間がかかったことに驚いているのか？次に侵入されるのはどの主要サービスか？以下、感想をお聞かせください。