ハッキングされ続けるヤフーの歴史
コネクティビティ

A History of Yahoo Hacks ハッキングされ続けるヤフーの歴史

ヤフーの大規模なセキュリティー侵害は約10億人に影響を与えたが、ヤフーの歴史を振り返れば起こるべくして起きたともいえる。 by Jamie Condliffe2016.12.16

ヤフーは、システムに対する深刻なセキュリティ侵害が10億人以上のユーザーに影響を及ぼしたと認めた。ヤフーにとって過去最悪の規模であり、ハッキングされたユーザーのデータ数でも過去最大かもしれない。しかし、ヤフーにしてみれば、ここ数年の恥ずかしいセキュリティ問題の報告書に、新しい行を追加するだけ、ともいえる。

2012年 : ヤフー、事業買収で面倒を取得

2010年にユーザー作成型メディアのアソシエーテド・コンテント(Associated Content)を1億ドルで買収したとき、ヤフーは面倒まで取得してしまった。2012年7月、ハッカーがヤフー・ボイス(アソシエーテド・コンテントの新名)のサーバーから盗み出したヤフーの内部情報であるメールアドレスと暗号化されたパスワードを公表したのだ。この攻撃で不正アクセスされたユーザーアカウントは40万人分。ヤフーに引き継いだシステムにセキュリティの脆弱性が存在していたにも関わらず、誰も対処しようとしなかったことが原因だ。

2013年 : メールのフィッシング詐欺

2013年は年初からヤフーは災難に見舞われた。ヤフーメールの多くのユーザーが、自身のアカウントがハッキングされたと報告し、その数は一向に減らなかったのだ。セキュリティホールを次々に解決しても、2013年の第1四半期、不正アクセスに対するユーザーの不満は止まらなかった。ヤフーメールのアカウントはフィッシング攻撃の標的にされていた。フィッシング攻撃ではユーザーはメール内のリンクをクリックするよう促され、リンクをクリックすると、ユーザーアカウントが乗っ取られた。

2014年 : ヤフーメール(続)

2014年の始まりもあまりよくなかった。 1月の終わりに、ヤフーは顧客の電子メールアカウントの詳細がハッキングされていたことを認めざるをえなくなった。ハッカーはどうやら、第三者のサーバーから取得したユーザー名とパスワードのリストを使ってヤフーメールのユーザーアカウントに侵入し、さらに多くのユーザー名とメールアドレスを取得したようなのだ。ヤフーはすぐにパスワードをリセットし、攻撃を停止させた。

2016年 : 5億人規模のハッキング

2016年9月22日、ヤフーは自社のサーバーが2014年にハッキングを受け、5億人のユーザーに影響を及ぼしたことを認めた。氏名、メールアドレス、電話番号、暗号化された(されてないデータもある)秘密の質問とその答え、生年月日、暗号化されたパスワードがハッカーによって盗まれたのだ。ヤフーによると、この攻撃は「国家から支援を受けた」ハッカーによって実行されたという。しかし、セキュリティ研究会社のインフォアーマーはこの主張に異議を唱えている

2016年 : 10億人規模のハッキング

2016年12月14日、ヤフーは過去最大のセキュリティ侵害があったと発表した。このハッキングは2013年に発生し、ユーザーの記録を取得したものとしては最大規模だと広く受け止められた。しかし、このハッキングは、司法当局の警告に促されて実施した最近の調査結果を受けてから明らかになった。ヤフーによると、2016年の9月に発表したハッキングと2016年12月のハッキングは「別の可能性がある」という。

ヤフーの情報セキュリティ管理最高責任者であるボブ・ロードによると、ハッカーは「氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によっては、暗号化または暗号化されていない秘密の質問とその答え」を入手したという。2016年12月のハッキングは、パスワードを必要とせずにユーザーアカウントにアクセスするため、改ざんしたクッキーを利用したと考えられている。このハッキングが「国家の支援を受けた関係者」とつながりがある可能性を考えていると、ヤフーはいう。

2017年 : 問題はベライゾンに引き継がれるか?

2016年7月、ベライゾンは窮地に立ったヤフーを48億ドルで買収する計画を発表した。10月、ベライゾンの製品開発責任者であるマーニ・ウォールデンは「当社の株主と投資家を確実に守るという義務」をベライゾンが負っていることを考慮すると、ベライゾンはヤフーを買収する取引の申し出に「注意深くなる」必要があると話した。ベライゾンは「最終的な結論を下す前に、今回の新たなハッキングの影響を再検討する予定です」と、最新のニュースで広報担当者であるボブ・バレトーニが述べた

買収が引き続き前進したとしても、ベライゾンが今年起きたセキュリティ侵害を理由に、買収価格を低下させる可能性がある。これは十分に公正なことだろう。ヤフーの近頃の実績を見れば、今後も驚くようなことが起こるとも限らない。

(関連記事:Yahoo, “ヤフー、3つの偉業“)