米Yahoo!は現地時間2016年12月14日、10億人分以上のデータ流出を新たに確認したと発表した。9月に公表したデータ侵害とは別のものだという。

 Yahoo!は、第三者がYahoo!のユーザー情報だとして公開したデータファイルについて、社外フォレンジック専門家の協力を得て分析したところ、それがYahoo!のユーザーデータであると判断した。

 専門家の分析によると、未承認の第三者が2013年8月に不正侵入し、10億人分以上のアカウントに関するデータを盗み出したと見られる。ただし、詳しい侵入手口についてはまだ特定できていない。

 Yahoo!は、5億人分以上の情報漏えいについて9月に発表したが(関連記事:5億人以上の個人情報流出、Yahoo!に国家が関与するサイバー攻撃か)、今回のデータ流出はこれとは無関係と考えられるという。

 新たに確認されたデータ流出では、氏名、電子メールアドレス、電話番号、誕生日、暗号化されたパスワードなどが盗まれ、本人確認に使用する秘密の質問と答えも一部含まれる。平文パスワードは含まれず、決済カードデータと銀行口座情報は不正侵入されたシステムとは別の場所に保存してあったため無事だった。

 またこれとは別に、Yahoo!は偽装クッキーについて、社外のフォレンジック専門家とともに調査していたが、未承認の第三者が同社のプロプライエタリーコードに不正アクセスしたことを確認した。この不正活動の一部は、9月に発表したデータ侵害の攻撃者と関連があるとYahoo!は見ている。

 なお、米Verizon CommunicationsがYahoo!の中核事業を約48億3000万ドルで買収することで7月に合意しているが(関連記事:VerizonがYahoo!の中核事業買収を正式発表、約48億3000万ドル)、9月のデータ漏えい公表後、Verizonは買収合意を見直す可能性を10月に示唆している。新たなデータ侵害発覚を受け、Verizon広報担当者は「最終的な結論を出す前に、今回の新しい展開による影響について調査する」と述べた(米New York Timesの報道)。

[発表資料へ]