ヤフーは9月初め、5億件のアカウントが流出した記録的なデータ侵害を発表しました。同社は今回、その2倍の規模となる10億件のユーザーアカウントが影響を受けた新たなデータ侵害を発表しました。
最初に報告されたデータ侵害
ヤフーによると、最初のデータ侵害は2014年に発生し、その後2015年にセキュリティ保護の適用が開始された。名前、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、暗号化または暗号化されていないセキュリティの質問と回答などの情報を含む5億件のアカウントが漏洩した。
同社は当時、攻撃者はもはや同社のネットワーク内にはおらず、ユーザーのアカウントは安全であるはずだと発表していた。
新たなデータ侵害
ヤフーの新しいセキュリティチームによると、新たに発見されたデータ侵害は、2013年8月に発生した以前のものより前に発生していたという。ヤフーが特定できなかった不正な第三者が、ヤフーのサーバーと10億のユーザーアカウントにアクセスした。
他のデータ侵害と同様に、漏洩した情報には、名前、電子メール アドレス、電話番号、生年月日、ハッシュ化されたパスワード (MD5 を使用)、場合によっては暗号化または暗号化されていないセキュリティの質問と回答が含まれていました。
NSAとのつながり疑惑
最初のデータ侵害が報じられて間もなく、今年10月初旬、複数のYahoo関係者から裏付けられた複数の報道がありました。同社は米国政府のために全ユーザーのメールをスキャンしていただけでなく、NSA(米国国家安全保障局)によるカーネルレベルのマルウェアのインストールも許可していたというものです。これは、NSAがYahooのサーバーを自由に操作し、調査対象メールだけでなく、あらゆるメールを閲覧できる状態になっていたことを意味します。
このバックドアは2015年にインストールされたように見えますが、私たちが目にしているように、政府が義務付けたバックドアは、最終的には他の悪意のある組織によって利用されることになります。つまり、2013年と2014年のYahoo!データ侵害事件は、同社が今日に至るまでセキュリティをあまり真剣に受け止めていないように見えることを考えると、同社による攻撃が最後ではない可能性があるということです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ベライゾン買収は疑問視される
ベライゾンは、データ漏洩が発表される前から、ヤフーと買収の可能性について協議を続けてきました。ヤフーはベライゾンとの交渉開始時点で少なくとも2014年のデータ漏洩について把握していましたが、ベライゾンには伝えていなかったようです。ベライゾンはその後、ヤフーに対し、提示した48億ドルの買収価格から10億ドルの値引きを求めています。
しかし、YahooがNSAに自社サーバーへの完全なアクセス権を与えていたという報道(これがYahooの評判とユーザーからの信頼を傷つけた可能性がある)と、最近発表されたデータ侵害を受けて、Verizonは契約そのものの破棄を検討するかもしれない。少なくとも、数字だけを見れば(5億ユーザーアカウントのデータ侵害に対して10億ドルの値引き)、そしてVerizonが積極的に攻勢に出たいのであれば、さらに20億ドルの値引きを求め、契約額を当初提示された金額の半分以下に引き下げる可能性もある。
もしそれが実現すれば、他の企業に対し、おそらく違憲であり、セキュリティに対する不注意な姿勢を示している諜報機関にすべてのユーザーデータへの秘密のアクセス権を与えることは、取引の損失や評判の失墜によって、将来、それらの企業に数十億ドルの損害をもたらす可能性があることを示すことになるだろう。
Yahooユーザー:今すべきこと
Yahoo が電子メールのセキュリティをどのように扱っているか、またそれらの電子メールを第三者の目から守る姿勢にまだ完全に信頼を失っていないのであれば、アカウントを保護するために以下の Yahoo の指示に従うことをお勧めします。
Yahoo アカウントで使用したのと同じまたは類似の情報を使用している他のアカウントのパスワードとセキュリティの質問と答えを変更します。すべてのアカウントで不審なアクティビティがないか確認します。個人情報を尋ねたり、個人情報を求める Web ページに誘導する一方的な通信には注意してください。不審な電子メールのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。Yahoo でパスワードを使用する必要性を完全に排除するシンプルな認証ツールである Yahoo アカウント キーの使用を検討してください。
エンドツーエンド暗号化の選択
データ漏洩が発生した場合や、メールサービスプロバイダーが様々な政府機関向けにバックドアを設置した場合でもメールを保護できる、エンドツーエンド暗号化メールソリューションの導入をご検討ください。エンドツーエンド暗号化では、メールの内容は企業のサーバーに到達する前に、ユーザーのデバイス上で暗号化されます。
Yahoo!の以前のセキュリティチームは、当初Googleが開発したブラウザ拡張機能を通じて、ユーザー向けにエンドツーエンドの暗号化を実現することも検討していました。しかし、プロジェクトが準備できた頃には、NSAが既にバックドアを設置しており、エンドツーエンドの暗号化プロジェクトは最終的にYahoo!の経営陣によって中止されました。
Googleも過去8ヶ月間、このプロジェクトに取り組んでいません。少なくとも公にはしていません。しかし、ProtonMailやTutanotaなどのエンドツーエンド暗号化サービス、そしてその他のOpenPGPベースのソリューションは、エンドツーエンド暗号化を提供していないメールサービスの代替として依然として利用可能です。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
