5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。
そのファイルが外部に流出したかどうかは確認できていませんが、サーバと外部との通信量からみると流出した可能性は否定できないと考えています。作成されていたファイルには、パスワードやパスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていません。IDはサービス上に表示されて誰でも見ることができる公開情報で、ユーザーの皆様の個人情報は一切含まれておりません。
IDだけでログインされることはありませんが、安心してご利用頂くため、下記リンク先でご案内している対策を講じることをご一考いただければ幸いです。
もっと安全ガイド
http://id.yahoo.co.jp/security/
今回の不正アクセスは前回の不正アクセス後に実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったことに起因しております。弊社が対策を徹底できずユーザーの皆様にご心配をおかけすることとなってしまったことを深くお詫び申し上げます。
昨日ツイッター上のタイムラインを流れた、一番ぞっとさせられたお話。2200万件という数に目ん玉飛び出る思いをしたけど、幸いにもIDのみで、パスワードや「本人確認のキーワード」などは漏えいされず、何らかの悪質な行動に使われるリスクは最小限に抑えられているようだ。
一応ヤフー側ではIDが漏えいした対象か否かを確かめるためのサイトを用意している。調べたいIDでログインした上で、【Yahoo! JAPAN IDの状況確認 http://docs.id.yahoo.co.jp/confirmation.html 】にアクセスすることで、漏えい対象か否かが分かるようになっている。
↑ Yahoo! JAPAN IDの状況確認
リリースの中で「関連するアカウントの認証の再設定を社内で徹底させることができていなかったことに起因しております」とあるので、要は「仕組みはしっかりしていたのに、それを施行する人間側の問題、ヒューマンエラーによるもの」ってことなんだろうなあ。やはり人材を育てるってのは、システム周りと同様、いやそれ以上に大切なのだと再確認した次第。
執筆:
コメントする