パスワードを忘れた? アカウント作成
8887372 story
情報漏洩

ヤフーに不正アクセス、最大2,200万件のID流出か 30

ストーリー by headless
再度 部門より
5月16日の21時ごろ、Yahoo! JAPAN IDを管理しているサーバーに不正アクセスがあり、最大で2,200万件分のIDのみを抽出したファイルが作成されていたそうだ(プレスリリース朝日新聞デジタルの記事日本経済新聞の記事ITmediaの記事)。

ヤフーでは4月にも不正アクセスを受けており、監視体制を強化していた。4月の不正アクセスは社員のIDとパスワードの流出が原因とみられ、IDとパスワードの変更を指示していたが、変更が完了する前に再度不正アクセスを受けたとのこと。ファイルが外部に送信されたかどうかについては確認できていないが、通信量からみて送信された可能性は否定できないという。なお、ファイルに含まれるのはIDのみで、パスワードや秘密の質問などは含まれないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • --
      5月16日の21時頃にYahoo! JAPAN IDを管理しているサーバに不正アクセスがあったことが判明しました。ご心配をおかけして申し訳ございません。不正アクセスされた情報は、パスワードやパスワードを忘れたときに必要な「秘密の質問」などID以外の個人情報は含まれていません。

      IDだけでログインされることはありませんが、お客様のIDが不正アクセスの対象となっているかお知らせさせていだきます。

      Yahoo! JAPAN ID
              ********
      結果
              対象のYahoo! JAPAN IDです。念のためパスワード変更をお勧めします。
      --

      漏れてないパスワードを変更するメリットは一体何なんでしょうか。

      親コメント
    • by Anonymous Coward

      このツールにブルートフォースアタックしたら、
      実際には漏れていないIDも得られるってこと?

      • by Anonymous Coward on 2013年05月18日 16時01分 (#2382859)

        確認するためには、調べる対象となるYahoo! Japan IDでログインする必要がありますね。
        つまり建前上はIDに紐付けられたパスワードも知っておく必要があると。

        親コメント
        • by Anonymous Coward

          フィッシングやり放題ですね。

  • >4月の不正アクセスは社員のIDとパスワードの流出が原因とみられ

    ・未だに不明。
    ・社員がソーシャルハックされた。
    ・(元?)社員が流出させた。

    リンク先のプレスリリース末文
    >当社としては、今回の事態を厳粛に受けとめ、全社を挙げて原因究明と再発防止に取り組んでまいります。

    と発表はされているけど、実際に原因の究明と再発防止対策は進んでるのかな。

    Yahoo!にかぎらず最近この手のニュースをよく見かけるけど世界的に流行ってるのか、今までもあったけど表に出ていなかっただけなのか。
    こういうのって被害届出したら我らがケイサツサイバーなんとか部隊が絶賛大活躍してくれるといいのにな。
    #取り調べ可視化してから。

  • by Anonymous Coward on 2013年05月18日 12時41分 (#2382788)

    もともとの対策がいろいろあったので、アカウント情報そのもの、もしくはアカウント/Passの直接的な流出はあんまないかもしれない?
    # 自分はべつにいいけど、実際の被害度合いがよくわからないな...

    * ログイン専用IDの生成ができる
      これでアカウントつくってれば、外部でのリスト攻撃、迷惑メールをふくめて影響が減ってるかも
    * 2要素認証(メールもしくはアプリ。これ、アプリだと専用のを使うんだよね、Open Authentication (OATH)ならいいのに)
      ただ、他とパスワードが共通になってて、今回実はパスワードも...だとリスト攻撃に使われるかも

    あと今回とは関係はないけど
    * ログイン履歴
    * シール
    なんかの対策がされてるね。

    • by Anonymous Coward

      Open ID として Yahoo! ID を利用している人はどのくらいいるんだろ?
      パスワードの使い回しは止めれ、という話しはこれまでもよくあったけど、Open ID ってIDの使い回しだしねぇ。

      シールの存在は時間稼ぎにはよいと思う。

      • by Anonymous Coward on 2013年05月18日 16時45分 (#2382885)

        IDの使い回しは別に問題ないっしょ。だってIDって元々identification、身分証明書とかそういう意味だぜ?何個も持ってたらむしろおかしいっしょ。
        認証を一つのところでやるのも問題ない。それは単に一元管理とか効率化とかそんな話なだけ。
        問題なのは、別々の管理がされてるとこに、同じパスワードを使い回すことだけ。

        親コメント
    • by Anonymous Coward

      米YAHOOのアカウントでは、他国のYAHOOに行っても、同じアカウント使える。
      日本YAHOOは、日本YAHOOだけのものだよね。

      日本YAHOOは、儲けてるのにセキュリティこの脆弱ぶりは、
      技術がないからじゃないの?

    • by Anonymous Coward

      *Y! OTP
      は?

  • by Anonymous Coward on 2013年05月18日 14時20分 (#2382825)

    ログイン履歴からログイン失敗を見れないようにしました

  • by Anonymous Coward on 2013年05月18日 11時42分 (#2382773)

    これでまた500円ゲットだぜ。

    • by Anonymous Coward

      懐かしいネタ 俺が禿げていない頃だ

      • by Anonymous Coward

        ご愁傷様です。

        # 流出が(何の?)。

        • by Anonymous Coward
          うぉううぉう なっやっみっむよー

          さーたちあがーれー

          おいしゃさんにそうだんだ
    • by Anonymous Coward

      ガンホー買収したことだし、お詫び石配布で済まされるのでは。

    • by Anonymous Coward

      懐かしいわ

  • by Anonymous Coward on 2013年05月18日 12時27分 (#2382781)

    スパムの送り先、大量GETだぜ!

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...