KADOKAWA Technology Review
×
【4/24開催】生成AIで自動運転はどう変わるか?イベント参加受付中
ニュース
A History of Yahoo Hacks

ハッキングされ続けるヤフーの歴史

ヤフーの大規模なセキュリティー侵害は約10億人に影響を与えたが、ヤフーの歴史を振り返れば起こるべくして起きたともいえる。 by Jamie Condliffe2016.12.16

ヤフーは、システムに対する深刻なセキュリティ侵害が10億人以上のユーザーに影響を及ぼしたと認めた。ヤフーにとって過去最悪の規模であり、ハッキングされたユーザーのデータ数でも過去最大かもしれない。しかし、ヤフーにしてみれば、ここ数年の恥ずかしいセキュリティ問題の報告書に、新しい行を追加するだけ、ともいえる。

2012年 : ヤフー、事業買収で面倒を取得

2010年にユーザー作成型メディアのアソシエーテド・コンテント(Associated Content)を1億ドルで買収したとき、ヤフーは面倒まで取得してしまった。2012年7月、ハッカーがヤフー・ボイス(アソシエーテド・コンテントの新名)のサーバーから盗み出したヤフーの内部情報であるメールアドレスと暗号化されたパスワードを公表したのだ。この攻撃で不正アクセスされたユーザーアカウントは40万人分。ヤフーに引き継いだシステムにセキュリティの脆弱性が存在していたにも関わらず、誰も対処しようとしなかったことが原因だ。

2013年 : メールのフィッシング詐欺

2013年は年初からヤフーは災難に見舞われた。ヤフーメールの多くのユーザーが、自身のアカウントがハッキングされたと報告し、その数は一向に減らなかったのだ。セキュリティホールを次々に解決しても、2013年の第1四半期、不正アクセスに対するユーザーの不満は止まらなかった。ヤフーメールのアカウントはフィッシング攻撃の標的にされていた。フィッシング攻撃ではユーザーはメール内のリンクをクリックするよう促され、リンクをクリックすると、ユーザーアカウントが乗っ取られた。

2014年 : ヤフーメール(続)

2014年の始まりもあまりよくなかった。 1月の終わりに、ヤフーは顧客の電子メールアカウントの詳細がハッキングされていたことを認めざるをえなくなった。ハッカーはどうやら、第三者のサーバーから取得したユーザー名とパスワードのリストを使ってヤフーメールのユーザーアカウントに侵入し、さらに多くのユーザー名とメールアドレスを取得したようなのだ。ヤフーはすぐにパスワードをリセットし、攻撃を停止させた。

2016年 : 5億人規模のハッキング

2016年9月22日、ヤフーは自社のサーバーが2014年にハッキングを受け、5億人のユーザーに影響を及ぼしたことを認めた。氏名、メールアドレス、電話番号、暗号化された(されてないデータもある)秘密の質問とその答え、生年月日、暗号化されたパスワードがハッカーによって盗まれたのだ。ヤフーによると、この攻撃は「国家から支援を受けた」ハッカーによって実行されたという。しかし、セキュリティ研究会社のインフォアーマーはこの主張に異議を唱えている

2016年 : 10億人規模のハッキング

2016年12月14日、ヤフーは過去最大のセキュリティ侵害があったと発表した。このハッキングは2013年に発生し、ユーザーの記録を取得したものとしては最大規模だと広く受け止められた。しかし、このハッキングは、司法当局の警告に促されて実施した最近の調査結果を受けてから明らかになった。ヤフーによると、2016年の9月に発表したハッキングと2016年12月のハッキングは「別の可能性がある」という。

ヤフーの情報セキュリティ管理最高責任者であるボブ・ロードによると、ハッカーは「氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によっては、暗号化または暗号化されていない秘密の質問とその答え」を入手したという。2016年12月のハッキングは、パスワードを必要とせずにユーザーアカウントにアクセスするため、改ざんしたクッキーを利用したと考えられている。このハッキングが「国家の支援を受けた関係者」とつながりがある可能性を考えていると、ヤフーはいう。

2017年 : 問題はベライゾンに引き継がれるか?

2016年7月、ベライゾンは窮地に立ったヤフーを48億ドルで買収する計画を発表した。10月、ベライゾンの製品開発責任者であるマーニ・ウォールデンは「当社の株主と投資家を確実に守るという義務」をベライゾンが負っていることを考慮すると、ベライゾンはヤフーを買収する取引の申し出に「注意深くなる」必要があると話した。ベライゾンは「最終的な結論を下す前に、今回の新たなハッキングの影響を再検討する予定です」と、最新のニュースで広報担当者であるボブ・バレトーニが述べた

買収が引き続き前進したとしても、ベライゾンが今年起きたセキュリティ侵害を理由に、買収価格を低下させる可能性がある。これは十分に公正なことだろう。ヤフーの近頃の実績を見れば、今後も驚くようなことが起こるとも限らない。

(関連記事:Yahoo, “ヤフー、3つの偉業“)

人気の記事ランキング
  1. Why it’s so hard for China’s chip industry to become self-sufficient 中国テック事情:チップ国産化推進で、打倒「味の素」の動き
  3. How thermal batteries are heating up energy storage レンガにエネルギーを蓄える「熱電池」に熱視線が注がれる理由
  4. Researchers taught robots to run. Now they’re teaching them to walk 走るから歩くへ、強化学習AIで地道に進化する人型ロボット
タグ
クレジット Photograph by Justin Sullivan | Getty
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
10 Breakthrough Technologies 2024

MITテクノロジーレビューは毎年、世界に真のインパクトを与える有望なテクノロジーを探している。本誌がいま最も重要だと考える進歩を紹介しよう。

記事一覧を見る
人気の記事ランキング
  1. Why it’s so hard for China’s chip industry to become self-sufficient 中国テック事情:チップ国産化推進で、打倒「味の素」の動き
  3. How thermal batteries are heating up energy storage レンガにエネルギーを蓄える「熱電池」に熱視線が注がれる理由
  4. Researchers taught robots to run. Now they’re teaching them to walk 走るから歩くへ、強化学習AIで地道に進化する人型ロボット
気候テック企業15 2023

MITテクノロジーレビューの「気候テック企業15」は、温室効果ガスの排出量を大幅に削減する、あるいは地球温暖化の脅威に対処できる可能性が高い有望な「気候テック企業」の年次リストである。

記事一覧を見る
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る