ヤフーは2013年5月17日、Yahoo! JAPAN IDを管理しているサーバーに外部からの不正アクセスがあったと発表した。最大2200万件のIDが抽出されたファイルが作成され、外部に流出した可能性があるという。ただしパスワードなどID以外のデータは含まれていないとしている。ヤフーでは、4月2日にも不正アクセスがあり、127万件のID情報が抽出された(関連記事:Yahoo! JAPAN、不正プログラムで127万件分のID情報抽出、情報流出はなし)。
不正アクセスがあったのは5月16日の21時頃。不審なログインを検知し、調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることが判明した。ファイルが外部に流出したかどうかは確認できていないが「サーバーと外部との通信量からみると流出した可能性は否定できない」(ヤフー)としている。作成されていたファイルには、パスワードやパスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていないという。
「IDはサービス上に表示されて誰でも見ることができる公開情報で、ユーザーの個人情報は一切含まれていない」(ヤフー)。IDだけでログインされることはない。
今回の不正アクセスの原因は「4月2日に発生した不正アクセス後に実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったこと」(ヤフー)という。IDを抽出できるアカウントへの不正ログインがあったものとみられる。
ヤフーでは、不審なログインをメールで通知サービスやワンタイムパスワードなど、同社が提供するセキュリティ強化サービスを利用するようユーザーに呼びかけている。
[発表資料]
■ラック西本逸郎氏による解説記事
ヤフーへの不正アクセス再び、ユーザーが講じるべき自衛策とは
