ヤフーは2013年5月23日夜、17日に漏洩の可能性があると発表(関連記事:ヤフーへの不正アクセス再び)していた最大2200万のIDのうち、約148万6000件については、IDに加えて暗号化されたパスワードなどの情報も漏れていた可能性が高いと発表した。

 漏洩した可能性があるのは、不可逆暗号化したパスワードと、パスワードを忘れた場合の再設定に必要な「秘密の質問」と「回答」である。

 パスワードが不明の場合、ログインするには秘密の質問、回答に加え、登録済みメールアドレス(Yahoo!メール以外)や生年月日による認証が必要になる。ヤフーは「これらの情報だけではYahoo! JAPAN IDを使ってログインすることはできませんが、ユーザーの皆様にご心配をおかけすることとなってしまったことを深くお詫び申し上げます」としている。

 対策として、23日19時から、秘密の質問を利用してパスワードを再設定する機能を一時的に停止したほか、5月24日早朝にはパスワードと秘密の質問をリセットする。該当するユーザーは、パスワード再設定の手続きを行うことでログインできる。

 ヤフーはプレスリリースで、対象IDでないユーザーに対しても、ログイン履歴の確認、ワンタイムパスワードの導入などの安全対策を薦めている。