米国インターネット検索大手「Yahoo」は、2016年9月22日(米国時間)、不正アクセスにより約 5億件のユーザ情報が流出したことを発表しました。影響を受けるアカウントは、「Yahoo Mail」、「Yahoo Finance」、「Yahoo Fantasy Sports」、および写真共有サイト「Flicker」となります。テクノロジー関連大手の同社は、最高情報セキュリティ責任者 Bob Lord氏により、この事件の概要および対応計画を同社の「Tumblr」にて迅速に公開しました。そして、この事件については捜査中であること、今後の管理保護計画、そしてセキュリティ上必要な対応について説明しています。また、今回のアカウント情報の流出は2014年後半に発生していたことも認めており、ユーザの氏名、Eメールアドレス、生年月日、パスワード、セキュリティーの質問と答えなどのアカウント情報が窃取されたと報告しています。一方 Lord氏は、現時点において、ユーザの決済カード情報または銀行口座情報などが窃取された証拠は認められておらず、これら情報を保有しているシステムは今回の情報流出の影響を受けていないと言及しています。
今回の Yahoo の情報流出事件は、窃取された情報数を考慮すると、最も大規模な流出事件の1つと言えます。過去10年間を振り返ると、大規模で著名な企業が狙われた情報流出事件が数多く確認されています。
- 2005年、米国インターネット大手「AOL」:インサイダーによりユーザ個人情報が流出
- • 2014年、米国ネットオークション大手「eBay」:社内DBへの不正アクセスを受け個人情報が流出、当時の全利用者1億4500万人に影響
- 2014年、米国小売大手「Target」:約4,000万人の顧客のデビットカードおよびクレジットカード情報が流出
- 2015年2月、米国大手保険会社「Anthem」:顧客および従業員約8,000万人の個人情報が流出
- 2015年9月、米連邦政府の「the Office of Personnel Management(人事管理局、OPM)」:政府職員約400万人の個人情報が流出
今年に入ってからも、カナダメディア大手「VerticalScope」は約4,500万人の個人情報流出、台湾テクノロジー企業「Acer」はオンラインストアへの不正アクセスにより約3万4,500人の個人情報が流出など、情報流出事例が後を絶ちません。
■情報流出に備えて:ユーザに求められる「セキュリティ習慣」
米Yahooのユーザは、関連するアカウントのパスワードすべてを直ちに再設定してください。万が一、2014年以降パスワード変更をしていない場合、大至急の対応が必須となります。また同社は、セキュリティーの質問と答えも窃取されていることから、暗号化されていなかったセキュリティーの質問と答えをすべて無効にしたため、今後使えない場合があります。
今回、同社は、迅速かつ用意周到に対応しており、Yahoo Mail上にわかりやすい FAQ(英語情報)を掲載しています。ログインページにアクセスすると、アカウントの再確認およびパスワードの再設定を促すメッセージが表示され、同社からの今回の事件に関する通知も表示されます。
図1:米国Yahoo のログインページにアクセスすると、今回の事例に対応してユーザアカウントの再確認を促す指示が表示される
図2:今回の情報流出事件の影響を受けている恐れがあるユーザは、公式のセキュリティ情報の通知が表示され、パスワード変更を求められる
これまでの事例が示す通り、情報流出事件が発生すると、影響を受けるユーザは、個人情報窃取以外に、詐欺など第2次被害に遭う恐れがあります。情報窃取は、狙われた企業だけでなく、窃取された情報を保有する各ユーザにも影響を与えることになります。こうした情報流出事件の影響を最大限に軽減するためにも、以下の習慣を実行するように心がけて下さい。
- 各アカウントごとに異なるパスワードを設定:万が一の情報流出に備えて、オンライン上のアカウントには、それぞれ異なるパスワードを設定してください。
- 2要素認証の使用:Yahooなど、オンライン上で使用するアカウントの Webサイトでは、2要素認証の使用が推奨されています。セキュリティ機能を強化するためにアカウントにログインする際に 2種類の確認が要求されます。
- すべての端末にセキュリティ製品をインストール:デスクトップ、ノートパソコン、モバイル端末など端末の形態に関わらず、どの端末にもセキュリティ製品をインストールし、常に最新の状態で使用するように心がけて下さい。
- 基本的なパスワードポリシーの順守:パスワードには、大文字小文字、特殊文字を含む、少なくとも 12個の文字列の強力なパスワードを設定する、定期的にパスワードを変更する、などの基本的なパスワードポリシーを守ってください。多くのパスワードを管理しきれないなど、パスワードポリシーに従うことが難しいと感じる場合はパスワード管理ツール(トレンドマイクロ製品では、「パスワードマネージャー」)などを使用することで簡易化も可能です。
※日本のヤフー株式会社(Yahoo Japan Corporation)では、米国Yahoo Inc.のサービスは日本ヤフーとは別サービスであり今回の事件はヤフー株式会社の顧客情報には影響していない旨を公表しています。
参考記事:
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)