KADOKAWA Technology Review
×
【冬割】 年間購読料20%オフキャンペーン実施中!
A History of Yahoo Hacks

ハッキングされ続けるヤフーの歴史

ヤフーの大規模なセキュリティー侵害は約10億人に影響を与えたが、ヤフーの歴史を振り返れば起こるべくして起きたともいえる。 by Jamie Condliffe2016.12.16

ヤフーは、システムに対する深刻なセキュリティ侵害が10億人以上のユーザーに影響を及ぼしたと認めた。ヤフーにとって過去最悪の規模であり、ハッキングされたユーザーのデータ数でも過去最大かもしれない。しかし、ヤフーにしてみれば、ここ数年の恥ずかしいセキュリティ問題の報告書に、新しい行を追加するだけ、ともいえる。

2012年 : ヤフー、事業買収で面倒を取得

2010年にユーザー作成型メディアのアソシエーテド・コンテント(Associated Content)を1億ドルで買収したとき、ヤフーは面倒まで取得してしまった。2012年7月、ハッカーがヤフー・ボイス(アソシエーテド・コンテントの新名)のサーバーから盗み出したヤフーの内部情報であるメールアドレスと暗号化されたパスワードを公表したのだ。この攻撃で不正アクセスされたユーザーアカウントは40万人分。ヤフーに引き継いだシステムにセキュリティの脆弱性が存在していたにも関わらず、誰も対処しようとしなかったことが原因だ。

2013年 : メールのフィッシング詐欺

2013年は年初からヤフーは災難に見舞われた。ヤフーメールの多くのユーザーが、自身のアカウントがハッキングされたと報告し、その数は一向に減らなかったのだ。セキュリティホールを次々に解決しても、2013年の第1四半期、不正アクセスに対するユーザーの不満は止まらなかった。ヤフーメールのアカウントはフィッシング攻撃の標的にされていた。フィッシング攻撃ではユーザーはメール内のリンクをクリックするよう促され、リンクをクリックすると、ユーザーアカウントが乗っ取られた。

2014年 : ヤフーメール(続)

2014年の始まりもあまりよくなかった。 1月の終わりに、ヤフーは顧客の電子メールアカウントの詳細がハッキングされていたことを認めざるをえなくなった。ハッカーはどうやら、第三者のサーバーから取得したユーザー名とパスワードのリストを使ってヤフーメールのユーザーアカウントに侵入し、さらに多くのユーザー名とメールアドレスを取得したようなのだ。ヤフーはすぐにパスワードをリセットし、攻撃を停止させた。

2016年 : 5億人規模のハッキング

2016年9月22日、ヤフーは自社のサーバーが2014年にハッキングを受け、5億人のユーザーに影響を及ぼしたことを認めた。氏名、メールアドレス、電話番号、暗号化された(されてないデータもある)秘密の質問とその答え、生年月日、暗号化されたパスワードがハッカーによって盗まれたのだ。ヤフーによると、この攻撃は「国家から支援を受けた」ハッカーによって実行されたという。しかし、セキュリティ研究会社のインフォアーマーはこの主張に異議を唱えている

2016年 : 10億人規模のハッキング

2016年12月14日、ヤフーは過去最大のセキュリティ侵害があったと発表した。このハッキングは2013年に発生し、ユーザーの記録を取得したものとしては最大規模だと広く受け止められた。しかし、このハッキングは、司法当局の警告に促されて実施した最近の調査結果を受けてから明らかになった。ヤフーによると、2016年の9月に発表したハッキングと2016年12月のハッキングは「別の可能性がある」という。

ヤフーの情報セキュリティ管理最高責任者であるボブ・ロードによると、ハッカーは「氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によっては、暗号化または暗号化されていない秘密の質問とその答え」を入手したという。2016年12月のハッキングは、パスワードを必要とせずにユーザーアカウントにアクセスするため、改ざんしたクッキーを利用したと考えられている。このハッキングが「国家の支援を受けた関係者」とつながりがある可能性を考えていると、ヤフーはいう。

2017年 : 問題はベライゾンに引き継がれるか?

2016年7月、ベライゾンは窮地に立ったヤフーを48億ドルで買収する計画を発表した。10月、ベライゾンの製品開発責任者であるマーニ・ウォールデンは「当社の株主と投資家を確実に守るという義務」をベライゾンが負っていることを考慮すると、ベライゾンはヤフーを買収する取引の申し出に「注意深くなる」必要があると話した。ベライゾンは「最終的な結論を下す前に、今回の新たなハッキングの影響を再検討する予定です」と、最新のニュースで広報担当者であるボブ・バレトーニが述べた

買収が引き続き前進したとしても、ベライゾンが今年起きたセキュリティ侵害を理由に、買収価格を低下させる可能性がある。これは十分に公正なことだろう。ヤフーの近頃の実績を見れば、今後も驚くようなことが起こるとも限らない。

(関連記事:Yahoo, “ヤフー、3つの偉業“)

人気の記事ランキング
  1. Promotion Innovators Under 35 Japan × CROSS U 無料イベント「U35イノベーターと考える研究者のキャリア戦略」のご案内
  2. AI’s search for more energy is growing more urgent 生成AIの隠れた代償、激増するデータセンターの環境負荷
タグ
クレジット Photograph by Justin Sullivan | Getty
ジェイミー コンドリフ [Jamie Condliffe]米国版 ニュース・解説担当副編集長
MIT Technology Reviewのニュース・解説担当副編集長。ロンドンを拠点に、日刊ニュースレター「ザ・ダウンロード」を米国版編集部がある米国ボストンが朝を迎える前に用意するのが仕事です。前職はニューサイエンティスト誌とGizmodoでした。オックスフォード大学で学んだ工学博士です。
▼Promotion 冬割 年間購読料20%off
日本発「世界を変える」U35イノベーター

MITテクノロジーレビューが20年以上にわたって開催しているグローバル・アワード「Innovators Under 35 」。2024年受賞者決定!授賞式を11/20に開催します。チケット販売中。 世界的な課題解決に取り組み、向こう数十年間の未来を形作る若きイノベーターの発掘を目的とするアワードの日本版の最新情報を随時発信中。

特集ページへ
MITTRが選んだ 世界を変える10大技術 2024年版

「ブレークスルー・テクノロジー10」は、人工知能、生物工学、気候変動、コンピューティングなどの分野における重要な技術的進歩を評価するMITテクノロジーレビューの年次企画だ。2024年に注目すべき10のテクノロジーを紹介しよう。

特集ページへ
フォローしてください重要なテクノロジーとイノベーションのニュースをSNSやメールで受け取る