ヤフーに不正アクセス、最大2,200万件のID流出か 30
ストーリー by headless
再度 部門より
再度 部門より
5月16日の21時ごろ、Yahoo! JAPAN IDを管理しているサーバーに不正アクセスがあり、最大で2,200万件分のIDのみを抽出したファイルが作成されていたそうだ(プレスリリース、
朝日新聞デジタルの記事、
日本経済新聞の記事、
ITmediaの記事)。
ヤフーでは4月にも不正アクセスを受けており、監視体制を強化していた。4月の不正アクセスは社員のIDとパスワードの流出が原因とみられ、IDとパスワードの変更を指示していたが、変更が完了する前に再度不正アクセスを受けたとのこと。ファイルが外部に送信されたかどうかについては確認できていないが、通信量からみて送信された可能性は否定できないという。なお、ファイルに含まれるのはIDのみで、パスワードや秘密の質問などは含まれないとのことだ。
ヤフーでは4月にも不正アクセスを受けており、監視体制を強化していた。4月の不正アクセスは社員のIDとパスワードの流出が原因とみられ、IDとパスワードの変更を指示していたが、変更が完了する前に再度不正アクセスを受けたとのこと。ファイルが外部に送信されたかどうかについては確認できていないが、通信量からみて送信された可能性は否定できないという。なお、ファイルに含まれるのはIDのみで、パスワードや秘密の質問などは含まれないとのことだ。
対象IDか確認する方法 (スコア:5, 参考になる)
http://urd.yahoo.co.jp/idguide/security/index/*http://docs.id.yahoo.co... [yahoo.co.jp]
http://japan.cnet.com/news/business/35032224/ [cnet.com] より
対象IDでした(Re:対象IDか確認する方法) (スコア:2)
--
5月16日の21時頃にYahoo! JAPAN IDを管理しているサーバに不正アクセスがあったことが判明しました。ご心配をおかけして申し訳ございません。不正アクセスされた情報は、パスワードやパスワードを忘れたときに必要な「秘密の質問」などID以外の個人情報は含まれていません。
IDだけでログインされることはありませんが、お客様のIDが不正アクセスの対象となっているかお知らせさせていだきます。
Yahoo! JAPAN ID
********
結果
対象のYahoo! JAPAN IDです。念のためパスワード変更をお勧めします。
--
漏れてないパスワードを変更するメリットは一体何なんでしょうか。
Re: (スコア:0)
このツールにブルートフォースアタックしたら、
実際には漏れていないIDも得られるってこと?
Re:対象IDか確認する方法 (スコア:1)
確認するためには、調べる対象となるYahoo! Japan IDでログインする必要がありますね。
つまり建前上はIDに紐付けられたパスワードも知っておく必要があると。
Re: (スコア:0)
フィッシングやり放題ですね。
その原因はなんだったんだろう (スコア:1)
>4月の不正アクセスは社員のIDとパスワードの流出が原因とみられ
・未だに不明。
・社員がソーシャルハックされた。
・(元?)社員が流出させた。
リンク先のプレスリリース末文
>当社としては、今回の事態を厳粛に受けとめ、全社を挙げて原因究明と再発防止に取り組んでまいります。
と発表はされているけど、実際に原因の究明と再発防止対策は進んでるのかな。
Yahoo!にかぎらず最近この手のニュースをよく見かけるけど世界的に流行ってるのか、今までもあったけど表に出ていなかっただけなのか。
こういうのって被害届出したら我らがケイサツサイバーなんとか部隊が絶賛大活躍してくれるといいのにな。
#取り調べ可視化してから。
Yahooは独自が多いけど (スコア:1)
もともとの対策がいろいろあったので、アカウント情報そのもの、もしくはアカウント/Passの直接的な流出はあんまないかもしれない?
# 自分はべつにいいけど、実際の被害度合いがよくわからないな...
* ログイン専用IDの生成ができる
これでアカウントつくってれば、外部でのリスト攻撃、迷惑メールをふくめて影響が減ってるかも
* 2要素認証(メールもしくはアプリ。これ、アプリだと専用のを使うんだよね、Open Authentication (OATH)ならいいのに)
ただ、他とパスワードが共通になってて、今回実はパスワードも...だとリスト攻撃に使われるかも
あと今回とは関係はないけど
* ログイン履歴
* シール
なんかの対策がされてるね。
Re: (スコア:0)
Open ID として Yahoo! ID を利用している人はどのくらいいるんだろ?
パスワードの使い回しは止めれ、という話しはこれまでもよくあったけど、Open ID ってIDの使い回しだしねぇ。
シールの存在は時間稼ぎにはよいと思う。
Re:Yahooは独自が多いけど (スコア:1)
IDの使い回しは別に問題ないっしょ。だってIDって元々identification、身分証明書とかそういう意味だぜ?何個も持ってたらむしろおかしいっしょ。
認証を一つのところでやるのも問題ない。それは単に一元管理とか効率化とかそんな話なだけ。
問題なのは、別々の管理がされてるとこに、同じパスワードを使い回すことだけ。
Re: (スコア:0)
米YAHOOのアカウントでは、他国のYAHOOに行っても、同じアカウント使える。
日本YAHOOは、日本YAHOOだけのものだよね。
日本YAHOOは、儲けてるのにセキュリティこの脆弱ぶりは、
技術がないからじゃないの?
Re: (スコア:0)
*Y! OTP
は?
不正ログイン対策として (スコア:1)
ログイン履歴からログイン失敗を見れないようにしました
Re:不正ログイン対策として (スコア:1)
Re: (スコア:0)
実に有りそうな対策だ。
Re: (スコア:0)
既に実行済み。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1487088449 [yahoo.co.jp]
やったね (スコア:0)
これでまた500円ゲットだぜ。
Re: (スコア:0)
懐かしいネタ 俺が禿げていない頃だ
Re: (スコア:0)
ご愁傷様です。
# 流出が(何の?)。
Re: (スコア:0)
さーたちあがーれー
おいしゃさんにそうだんだ
Re: (スコア:0)
ガンホー買収したことだし、お詫び石配布で済まされるのでは。
Re: (スコア:0)
懐かしいわ
ID≒メールアドレス (スコア:0)
スパムの送り先、大量GETだぜ!
Re: (スコア:0)
噂で批判
楽しいよね。
Re: (スコア:0)
流失なら安心なんですけどねー。
ところで、ずさんな社内体制とは具体的にどのようなものでしょうか。
Re: (スコア:0)
これはひどい放言。
噂でずさんと言うだけで中身もなく
「起こるべくしておきた」とか言っちゃってるし……
どのように、起こるべくしておきたと言える噂なのか
聞かせて頂けないでしょうか。
# 元コメが内部事情をご存知でACというシナリオも無くは無いが
# ACならACで外部者のふりをする必要がないから、多分違う。
Re: (スコア:0)
起こるべくして起きたというのには同意
だって4月に起きたとき
プレスリリースはどこかにでていたのかもしれないけど
Yahoo!トップページや、他のセキュリティ被害のニュースのところに
4月の流出についての報告や
流出を報じているニュースへのリンクが一切ありませんでした。
この時点で精査するなり、ユーザーに広く通達しておけば
直後の5月に~ということはなかったのではないかと
4月に隠蔽しようとした挙句翌月に、というのがね
Re:なんて言うか (スコア:2)
公式サイトの規定の場所で、プレスリリースだしているのに「隠蔽」とは…
実際にニュースになっていたのか、なっていないのかは分かりませんが
どちらにせよニュースにするのは報道屋の仕事でしょう。
Re: (スコア:0)
こういう場合の規定の場所というのは
サイトのTOPページのわかりやすい場所に書かれなくては
隠していると取られても仕方ないと思います
ましてTOPに「Yahoo! JAPANからのお知らせ」というものもあるのに
そこにも前回は表示されていませんでした
今回はさすがに書かれているようですが
逆に、今回は書いたのに前回書かなかったのはなぜ?という点
ニュースの項、コンピュータのカテゴリに
個人情報の流出というトピックがありますが
こちらにも全く記載はなく
Yahooを使っているはずの大多数の人間には流出しかけたという事すら伝わってなかったのではないかと
Re: (スコア:0)
ちょい余計なこと色々書いたけれど
流出の場合
被害を受けるのはユーザーであって
それが記事になるか以前に
Yahoo側からユーザにある程度の経緯の説明があるべきではないかと
その説明がYahoo側からは全くなかったというのが問題だという事です