KADOKAWA Technology Review
×
コネクティビティ A History of Yahoo Hacks

ハッキングされ続けるヤフーの歴史

ヤフーの大規模なセキュリティー侵害は約10億人に影響を与えたが、ヤフーの歴史を振り返れば起こるべくして起きたともいえる。 by Jamie Condliffe2016.12.16

ヤフーは、システムに対する深刻なセキュリティ侵害が10億人以上のユーザーに影響を及ぼしたと認めた。ヤフーにとって過去最悪の規模であり、ハッキングされたユーザーのデータ数でも過去最大かもしれない。しかし、ヤフーにしてみれば、ここ数年の恥ずかしいセキュリティ問題の報告書に、新しい行を追加するだけ、ともいえる。

2012年 : ヤフー、事業買収で面倒を取得

2010年にユーザー作成型メディアのアソシエーテド・コンテント(Associated Content)を1億ドルで買収したとき、ヤフーは面倒まで取得してしまった。2012年7月、ハッカーがヤフー・ボイス(アソシエーテド・コンテントの新名)のサーバーから盗み出したヤフーの内部情報であるメールアドレスと暗号化されたパスワードを公表したのだ。この攻撃で不正アクセスされたユーザーアカウントは40万人分。ヤフーに引き継いだシステムにセキュリティの脆弱性が存在していたにも関わらず、誰も対処しようとしなかったことが原因だ。

2013年 : メールのフィッシング詐欺

2013年は年初からヤフーは災難に見舞われた。ヤフーメールの多くのユーザーが、自身のアカウントがハッキングされたと報告し、その数は一向に減らなかったのだ。セキュリティホールを次々に解決しても、2013年の第1四半期、不正アクセスに対するユーザーの不満は止まらなかった。ヤフーメールのアカウントはフィッシング攻撃の標的にされていた。フィッシング攻撃ではユーザーはメール内のリンクをクリックするよう促され、リンクをクリックすると、ユーザーアカウントが乗っ取られた。

2014年 : ヤフーメール(続)

2014年の始まりもあまりよくなかった。 1月の終わりに、ヤフーは顧客の電子メールアカウントの詳細がハッキングされていたことを認めざるをえなくなった。ハッカーはどうやら、第三者のサーバーから取得したユーザー名とパスワードのリストを使ってヤフーメールのユーザーアカウントに侵入し、さらに多くのユーザー名とメールアドレスを取得したようなのだ。ヤフーはすぐにパスワードをリセットし、攻撃を停止させた。

2016年 : 5億人規模のハッキング

2016年9月22日、ヤフーは自社のサーバーが2014年にハッキングを受け、5億人のユーザーに影響を及ぼしたことを認めた。氏名、メールアドレス、電話番号、暗号化された(されてないデータもある)秘密の質問とその答え、生年月日、暗号化されたパスワードがハッカーによって盗まれたのだ。ヤフーによると、この攻撃は「国家から支援を受けた」ハッカーによって実行されたという。しかし、セキュリティ研究会社のインフォアーマーはこの主張に異議を唱えている

2016年 : 10億人規模のハッキング

2016年12月14日、ヤフーは過去最大のセキュリティ侵害があったと発表した。このハッキングは2013年に発生し、ユーザーの記録を取得したものとしては最大規模だと広く受け止められた。しかし、このハッキングは、司法当局の警告に促されて実施した最近の調査結果を受けてから明らかになった。ヤフーによると、2016年の9月に発表したハッキングと2016年12月のハッキングは「別の可能性がある」という。

ヤフーの情報セキュリティ管理最高責任者であるボブ・ロードによると、ハッカーは「氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によっては、暗号化または暗号化されていない秘密の質問とその答え」を入手したという。2016年12月のハッキングは、パスワードを必要とせずにユーザーアカウントにアクセスするため、改ざんしたクッキーを利用したと考えられている。このハッキングが「国家の支援を受けた関係者」とつながりがある可能性を考えていると、ヤフーはいう。

2017年 : 問題はベライゾンに引き継がれるか?

2016年7月、ベライゾンは窮地に立ったヤフーを48億ドルで買収する計画を発表した。10月、ベライゾンの製品開発責任者であるマーニ・ウォールデンは「当社の株主と投資家を確実に守るという義務」をベライゾンが負っていることを考慮すると、ベライゾンはヤフーを買収する取引の申し出に「注意深くなる」必要があると話した。ベライゾンは「最終的な結論を下す前に、今回の新たなハッキングの影響を再検討する予定です」と、最新のニュースで広報担当者であるボブ・バレトーニが述べた

買収が引き続き前進したとしても、ベライゾンが今年起きたセキュリティ侵害を理由に、買収価格を低下させる可能性がある。これは十分に公正なことだろう。ヤフーの近頃の実績を見れば、今後も驚くようなことが起こるとも限らない。

(関連記事:Yahoo, “ヤフー、3つの偉業“)

人気の記事ランキング
  1. The robots patrolling Walmart’s aisles ウォルマートの棚管理ロボ導入で店員・客が見せた意外な反応
  2. Bitcoin and Ethereum Have a Hidden Power Structure, and It’s Just Been Revealed 「非中央集権型」通貨 ビットコインの理想は 儚く消えたのか?
  3. No, Ripple Isn’t the Next Bitcoin リップルは有望でもXRPが「次のビットコイン」にならない理由
  4. Google’s Self-Training AI Turns Coders Into Machine-Learning Masters グーグルの自動機械学習サービス、誰もが自分専用AIを作れる時代へ
  5. More efficient machine learning could upend the AI paradigm エヌビディアが機械学習の「パラダイムを覆す」新手法を研究中
タグ
クレジットPhotograph by Justin Sullivan | Getty
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
人気の記事ランキング
  1. The robots patrolling Walmart’s aisles ウォルマートの棚管理ロボ導入で店員・客が見せた意外な反応
  2. Bitcoin and Ethereum Have a Hidden Power Structure, and It’s Just Been Revealed 「非中央集権型」通貨 ビットコインの理想は 儚く消えたのか?
  3. No, Ripple Isn’t the Next Bitcoin リップルは有望でもXRPが「次のビットコイン」にならない理由
  4. Google’s Self-Training AI Turns Coders Into Machine-Learning Masters グーグルの自動機械学習サービス、誰もが自分専用AIを作れる時代へ
  5. More efficient machine learning could upend the AI paradigm エヌビディアが機械学習の「パラダイムを覆す」新手法を研究中
ザ・デイリー重要なテクノロジーとイノベーションのニュースを平日毎日お届けします。
公式アカウント