Yahoo!JAPANが、このところ何かしらやらかしている。まず最初はYahoo! JAPANのID管理サーバーに不正アクセスが確認されたこと。不正アクセスが発覚した当初は、通常のアクセスでも得られるユーザーID 2200万件を抽出しただけと思われていた。しかし、初めの発表から6日後に、IDの抽出だけでなく、暗号化されたパスワードや、パスワードを忘れた場合の再設定に必要な情報の一部も流出した可能性が高いと発表された。

この流出は148.6万件で、Yahoo! JAPAN ID総数約2億のうち、約0.74%に相当する。今回の場合、調査に時間がかかったものの流出した内容などは判明している。そして昨日は、835名のYahoo!JAPANユーザーに対し1427名分の「Yahoo! JAPAN ID」と「メールアドレス」を組み合わせたリストを誤って送信してしまうというミスが発覚した。

こうした公共性の強いサービスで、自分の知らないところで勝手にIDやメールアドレスなどの個人情報が流出してしまうケースでは、利用者が自分自身でどれだけ注意しても防ぎようがない。今回の不正アクセス以外にも、まだ発覚してない不正アクセス被害があるかもしれないと考えると空恐ろしくなる。

またYahoo!JAPAN側も、不正アクセス被害の最中に、自らのミスによってIDやメールアドレスの漏えい事故を起こすとは、サービスを提供する側のセキュリティ意識が弱いのではないかと疑われても仕方がないと言える。


今回の不正アクセスは、4月2日にサーバーへの不正アクセスが確認され、監視体制を強化していたところだったという。5月16日の21時頃にも不正アクセスされ、このときの被害は比較的集めやすいユーザーIDの抽出だけと思われていた。しかし、それから6日後の23日、パスワードを忘れた際に利用する秘密の質問などが流出した可能性があることが発覚した。

今回、自分のIDがこの不正アクセスの対象になっているかどうかは、Yahoo! JAPANにログインした状態で
http://docs.id.yahoo.co.jp/confirmation.htmlにアクセスすれば状況はわかる。IDを持っている方は念のためアクセスして自分のIDの状況を確認しておこう。

■不正アクセスの検知が、正しくできているか?
不正アクセスされた場合、不正アクセスの状況がログファイルに残る。サーバーの管理者は、このログを分析することでどのようなアクセスをされたのかがわかるようになっている。今回、不正アクセスを検知してから実際に流出した状況を公表するまで7日かかっているが、ログなどの分析に時間がかかったことが原因だろう。

また、通常の通信を装っていることもあり、一見すると正規のサービスからの接続であるように見えて、実際はバックドアを仕込むクラックツールやパケット内容を盗み見るスニッフィングツールだったりなんてことがある。不正アクセスする側も、ばれないように巧妙になってきているのだ。

スキルのあるクラッカーは、不正アクセスしたことがログに残ること嫌うため、不正アクセスの証拠となるアクセスログを改ざんする場合がある。アクセスログが改ざんされてしまうと、どのような経路でアクセスしてきたかを後で調べることが非常に難しくなってしまう。

今回のYahoo! JAPANの不正アクセス被害、侵入経路や使われたツール等の詳細は公表されていないが、サーバーの監視体制を強化している中で不正アクセスの被害に遭ったことを考えると、かなりのスキルの持ち主であると考えることができる。その不正アクセス被害の分析にかなり時間がかかったことを考えても、高度な手法で不正アクセスしていた可能性がある。

日本を代表するネット企業であるYahoo! JAPANでは、優秀な技術者がセキュリティ関連を担当していると思われるが、それでも不正アクセスの被害に遭い、状況を公表するまでに時間がかかっている。

■サービス提供者は平和時こそセキュリティ意識を強く持つべし
2000年代に入ってから、中国からの黒客(紅客)被害、韓国からのDDoS攻撃と、日本のインターネットは外部からかなりの攻撃を受けてきた。国の機関であることを意味するドメイン「go.jp」を持つサイトがホームページ改ざん被害を受けるなど、そうしたことに対処してきたことで日本のインターネット全体がかなりセキュアなレベルになってきたと言える。黙ってやられているだけでなく、対策も取って来たというわけだ。

最近では、たまにセキュリティパッチを当ててない上に放置されているゾンビBOT PCが発見されたりする程度で、今回のような不正アクセス被害は発生頻度が落ちてきていた矢先だった。安全な運用が続いていたことで、Yahoo!JAPAN側のセキュリティ意識が甘くなっていたのではないだろうか。

ユーザーもサービスを提供する側、今回で言えばYahoo!JAPANを信頼して、IDやメールアドレス、そして住所・氏名・年齢・性別・職業、クレジットカードの番号や取引先銀行の登録などをしているわけで、その信頼を裏切るような行為は、簡単に許されるような話ではないだろう。

いまのところ実際に被害を受けたユーザーが出ていないというのは、不幸中の幸いであって、本来は不正アクセスをしようと侵入を試みても、入ってこれないようにするのが当たり前だ。たとえば私たちの個人データが流出しないよう自分自身を守るためには、Yahoo!JAPANを利用しないのが最善の方法であるなんていう笑えないことにならないよう、今後は、今まで以上にセキュリティ意識を強く持ってサービスを提供することを希望したい。

もちろん、サービスを使う側も、こうしたサービスを利用する際に自分の情報が外部に漏れてしまうかもしれないというリスクを考慮して、セキュリティ意識を強く持った上で利用するようにしたい。

上倉賢 @kamikura [digi2(デジ通)]

「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表

ITライフハック
ITライフハック Twitter
ITライフハック Facebook

デジ通の記事をもっと見る
1インチ1万円切れば買いか? 4Kテレビの買い時はいつごろか考える
ネット選挙解禁で法改正で選挙活動にインターネットが活用される?
従来のProアカウントはどうなる? 容量1TバイトへFlickrがサービス内容を大変更
4K時代がいよいよ到来 60型が65万円からシャープが4K AQUOSを発表
オールドタイプのアナタへ 快適テキスト入力のハードウェアキーボード付き端末のススメ



ウイルスセキュリティZERO 1,980円
ウイルスセキュリティZERO 1,980円 [USBメモリスティック]