ヤフーが5月17日夜、「Yahoo! JAPAN」に不正アクセスがあり、最大で2200万件のIDが抽出されたと発表した。ヤフーは4月にも管理サーバーへの不正アクセスを検知したことを発表している(関連記事:Yahoo! JAPAN、不正プログラムで127万件分のID情報抽出、情報流出はなし)。その時は約127万件のユーザー名、暗号化されたパスワードや登録メールアドレスなどが抽出されたが、外部への情報流出はなかったことを確認したというものであった。今回は、IDだけだが2200万件という大量の件数に上ることと情報流出の可能性があることが、前回と大きく異なる。

 今回の事件についてユーザーが大騒ぎをする必要はないと考えるが、すぐに考慮するべき具体的な脅威は、攻撃者が流出したIDをもとに事件への対策を装った標的型メールやメッセージを送出し、これにユーザーが反応することで被害に遭うことだろう。流出したIDでメールを盗み読みをされたり、オークションを勝手に使用されたりするといった成りすましの被害に遭うことはまずない。攻撃者側にわたったと考えられる情報はIDだけだからだ。

 前回の事件との関連性や攻撃の詳細は明らかになっていないが、ヤフーからの発表資料の内容とこれまでにメディアで報道されている情報から、原因などの推測と個人ユーザーとユーザー企業の管理者がすべきことを述べてみたい。

管理者用のログイン経路から侵入されたのか

 資料には「Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明」とある。これは、外部から何らかの方法で侵入を許していると考えられる。また、「監視体制を強化していたところ、不審なログインを検知」という説明と、「4月2日に発生した不正アクセス後に実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったこと」といった報道(関連記事)から、恐らく攻撃者はヤフー内の管理者に成りすましてサイトにログインし、不正行為に至ったのではないかと推測される。

 この事実に気づいたヤフーが調査したところ、攻撃者がIDを抽出したファイルを発見できたが、このファイルを外に転送した可能性は否定できなかった。つまりファイルの持ち出しがなかったという明確な証拠をつかめなかったということだろう。そして、それは前回の事件と侵入場所などが異なっていることを意味しているのではないだろうか。

 全くの憶測に過ぎないが、発表文面などから、ヤフーでは何らかの理由で管理者が社外からログインして、サイトを管理できるようになっていると推測できる(同様のサービスを提供している会社では、腕利きの技術者が24時間どこからでも管理ができる仕組みを講じているのが一般的である)。そして、その経路を使って成りすましログインをされて、当該ファイルが生成されたのではないか。

 発表資料から、ヤフーは不審なログインを16日夜に発見し、恐らくはそこから何が発生しているかの事実確認と被害範囲を調査して、ほぼ24時間後の17日夜に発表したものと推測できる。これは、非常に迅速な対応といえる。