米Yahoo!は現地時間2015年9月22日、5億人分以上の個人情報が流出していたことを認めた。国家が関与すると見られるサイバー攻撃を2014年後半に受けていたことが分かったという。
盗まれた情報には、氏名、電子メールアドレス、電話番号、誕生日、暗号化されたパスワードが含まれる。本人確認に使われる秘密の質問と答えは、暗号化されたものとされていないものが流出した。
現在も調査を継続中だが、暗号化されていないパスワード、クレジットカード情報、銀行口座情報は盗まれていないとYahoo!は見ている。また、国家の支援を受けた攻撃者が現在もYahoo!のネットワークに侵入している証拠は見つかっていないという。
Yahoo!は、影響を受けたと見られるユーザーに通知メールを送り、パスワードの変更と追加の本人確認手段の導入を呼びかけている。暗号化されていない秘密の質問と答えはすでに無効化しており、2014年以降パスワードを変更していないユーザー全員に対して、パスワードを変更するよう強く勧めている。
今回の情報漏えいについて米New York Timesは、「単一企業からのデータ流出としては過去最大」と報じている。Yahoo!はこの夏にハッカーが同社から流出したものだとするデータをアンダーグラウンドフォーラムで公開したことを知り、調査を行ったところ、2014年の不正侵入を発見した。しかし、公開されたデータがその際に流出したものかどうか、あるいは同社システムではなく他社サービスから漏れたものかどうかは確認できなかったとしている。
「Peace of Mind」を名乗るハッカーは8月に、2億人を超えるYahoo!利用者のユーザー名やパスワード、誕生日、電子メールアドレスなどをアンダーグラウンドサイトで売りに出した。Peace of Mindは過去に「MySpace」「LinkedIn」「Tumblr」のユーザーアカウント情報を販売したこともある(米PCWorldの報道)。
Yahoo!は、不正侵入の背後に国家の存在があると見る根拠については明らかにしていない(米Forbes)。同社では2012年にもユーザー45万人分以上の情報漏えいが発生した(関連記事:Yahoo!、不正アクセスで45万人以上のユーザー情報流出)。
なお、Yahoo!は米Verizon Communicationsが同社の中核事業を約48億3000万ドルで買収することで7月に合意している(関連記事:VerizonがYahoo!の中核事業買収を正式発表、約48億3000万ドル)。
[発表資料へ]
