今月12日、米Yahoo!がハッカー集団から不正アクセスを受け、40万件以上のユーザー名とパスワードが流出したことが明らかになった。流出情報には、「yahoo.com」だけでなく、「gmail」や「hotmail」、「aol」など他社ドメインのメールアドレス、パスワードが多数含まれている。セキュリティベンダーのマカフィーは、「パスワードの使い回し」を行わないよう改めて警告している。
報道各社によると、ハッカー集団「D33ds」が今月11日、米Yahoo!のオンラインサービス「Yahoo! Voices」に不正アクセスしてユーザーのアカウント情報約40万件を不正取得し、自らのWebサイト上に公開した。D33dsは同社サーバーの脆弱性を突いて、暗号化されていない状態で保存してあったアカウント情報を取得したという。彼らは、同社のWebサーバーには多くのセキュリティホールが存在するとし、「今回の事件を脅威としてではなく、目を覚ますためのきっかけとしてくれることを願っている」という声明を出している。
不正アクセスを受けた Yahoo! Voices(旧称Associated Content)は、米Yahoo!が2010年に買収したサービス。盗まれたアカウント情報は買収以前に顧客が登録したものだったため、同社だけでなく、グーグルやマイクロソフト、AOLなど他社ドメインのメールアドレス、パスワードが多数含まれている。
マカフィーによれば、盗まれた情報のうち「yahoo.com」は13万7559件で、以下「gmail.com」10万6873件、「hotmail.com」5万5148件、「aol.com」2万5521件と続く。1万件以下では「comcast.net」「msn.com」など十数個のドメインが挙げられる。
マカフィーはこの事件からユーザーが得られる教訓として、改めて「パスワードの使い回し」をしないことを挙げる。特に、人気が高いサービスと同じパスワードを使い回すことは危険だ。そこがターゲットにされてアカウント情報が漏えいすれば、同じパスワードを使っている他のサービスでも被害を受ける可能性が高い。面倒でも、利用するサービスごとに異なるパスワードを設定していただきたい。
(2012/7/18 ネットセキュリティニュース)
【関連URL:マカフィー】
・Yahooのデータ流出:基本的なセキュリティの必要性を再認識
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1326
・Latest Yahoo Data Breach Restates Need for Basic Security[英文]
http://blogs.mcafee.com/consumer/consumer-threat-alerts/latest-yahoo-data-breach-restates-need-for-basi