Yahoo ハッキングされる: 次にサイバー詐欺師のターゲット・リストに載っているのは何か?
1994 年に創設された Yahoo は、現在でも世界をリードするウェブサイトの 1 つです。最近になって、このウェブ・ジャイアントは困難に直面し、約 48 億 USD で Verizon に売却されたものの、現在でも巨大なユーザー・データベースを保持し、毎日何百万ものユーザーに利用されています。Yahoo の問題に加え、今年の前半にはデータ漏洩疑惑に関する関連ニュースが明るみに出ました。「Peace」と呼ばれる悪名高いハッカーが、2 億件を超える Yahoo アカウントを販売目的でダークウェブに置いたのです。Yahoo の代表者たちは直ぐに反応し、セキュリティ・リサーチャーのチームを指名してこの事件について調査を開始しました。とは言え、実際の被害の規模や漏洩の原因についての公式見解が出されたのは今週の初めになってからでした。遂に、1 ヶ月半の沈黙を破り、明るみに出た詳細について書き出してみましょう。
最近の発表で、Yahoo はサーバーが実際に何らかの不正侵入を受けたことを認めました。驚くことに、盗まれたデータの調査は 2014 年までを対象としており、なぜもっと早くに情報を開示しなかったのかという疑問が湧くばかりです。さらに、盗まれた情報の量が当初の見積もりよりも遥かに大きいものであることが判明しました。ハッカーたちは5 億件のユーザー・アカウントにまんまと影響を与えてきたということになるのです。それほど大量のデータが、単純に Yahoo の担当者の目をすり抜けるなどということがあり得るのでしょうか?幸いなことに、詐欺師たちによってクレジット・カード・データやオンライン・バンキングの認証情報が抜き取られることはありませんでした。しかし、他の重要なユーザー情報が大量に漏洩し、それにはサイトへのログイン認証情報や氏名、Eメール・アドレス、セキュリティ用の質問と回答の組合せ、パスワード、電話番号、誕生日などが含まれています。調査担当者は、その攻撃の背景に国による支援があったと信じるに至りました。Yahoo は、政治的な理由により、そのような攻撃が以前よりも当たり前になりつつあると主張しています。しかし、ダークウェブから盗まれたデータを利用してお金を設けているハッカーたちに関する報告はどうなっているのでしょうか?まだ回答が得られていない疑問点が数多く存在しています。そんな中、この事件から分かることは、サイバー犯罪が繁栄していることと、次に犠牲になるのがいつ、誰かというだけの話だ、ということです。
実は、ちょっと前に、情報セキュリティのコミュニティでは、かつて 2012 年および 2013 年に起きた一連のデータ漏洩の話で沸き立っていました。Yahoo の場合と同様に、これらのハッキング事件が明るみに出て、今年になってやっと関係当事者により公式に認められたのです。Myspace、LinkedIn、および Tumblr がそれら全ての震源地でした。これらの事件のいずれも Yahoo から盗まれた膨大な量のデータには及びもしないものの、その数字は現在でもどんどん上昇中です。例えば、Myspace だけでも 3 億 6 千万件のアカウントがハッキングされ、LinkedIn の場合の総数は 1 億 6 千 4 百万件に達し、Tumblr の場合は 6 千 5 百万件です。もちろん、ハッカーたちはそこからも収益を上げることを試みています。「Peace」および「Tessa88」というのが主要なベンダーで、彼らがこれらのデータをダークウェブに売っていたのです。それらのデータのほとんどが古いものだからと言う理由により専門家はこのようなデータが無用のものであると見ていますが、弊社ではこれらのソーシャル・プラットホームにアカウントのお持ちの方に、パスワードを変更されることをお勧めしています。
その一方で、Yahoo の代表者たちも、2014 年またはそれ以前に Yahoo にサインアップされた方には特に、パスワードをより強力なものに変更するよう促しています。弊社もまた、お手持ちの全てのソーシャル・メディアのアカウントをチェックして、それぞれのパスワードが同一のものではないこと、またセキュリティ標準の全てに適合していることを確認されるようお勧めします。さらに、PC システムを安定に保ち、スパイウェアの侵入を防げるようにしておくことも重要です。