毎日、1000件以上のアクセス、4000件以上の閲覧がある情報発信ブログ。花や有機農業・野菜作り、市民運動、行政訴訟など
てらまち・ねっと



 先日、ヤフーに不正アクセスがあり、大量のユーザー情報が流出した。
    2013年5月199日エントリー ⇒  ◆ヤフーに不正アクセス/2200万件の利用者ID流出か/Webサービスの「パスワード使い回し」注意

 その時、悪用はできない、とヤフーが表明していたが、昨日、「暗号化したパスワード148万件が流出」と発表した。
 慎重を期して「暗号化したパスワード」を使っている人の情報も盗んでしまう人たちがいるわけだ。

 同社は「秘密の質問を用いてパスワードを変更する際には、同時に生年月日も入力する必要があるため、その情報だけでログインできない」としている。
 しかし、専門家は
        (ただし、IDに数字を使い、誕生日などの情報を組み入れていた場合は、推測が容易な状況といえる) (ITmedia)

 ともかく、ヤフーは、23日19時から、秘密の質問を利用してパスワードを再設定する機能を一時的に停止した。
 さらに24日早朝、対象IDのユーザーのパスワードと秘密の質問を強制的にリセットする、という。
 ユーザーは自分で再設定しなければならない・・・・

 でも、また盗まれる可能性はあるわけで・・・・
      2013年5月21日 エントリー⇒ ◆衆院通過 マイナンバー法案で国民総家畜化/パスワードを変えないと危ない時代に、生涯不変番号とは

 ところで、今日も、「明日、あさっての市民派議員塾」のレジメや資料作り。

人気ブログランキング = 今、2位あたり
 ★携帯でも クリック可にしました →→ 携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「10点」 ←←

 ★パソコンは こちらをクリックしてください →→←←このワン・クリックだけで10点


プレスリリース
          2013年5月23日  ヤフー株式会社
                2013年5月23日  ヤフー株式会社
「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、
新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、
不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の
再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

これらの情報だけではYahoo! JAPAN IDを使ってログインすることはできませんが、
ユーザーの皆様にご心配をおかけすることとなってしまったことを深くお詫び申し上げます。

本日19時より、秘密の質問を利用してパスワードを再設定するための機能を一時的に停止しました
。また、対象のIDの利用者に対して、5月24日の早朝を目途に強制的にパスワードと秘密の質問をリセットいたしますので、
ユーザーの皆様にはログイン時に表示される再設定画面の案内にしたがって、ご自身で再設定の手続きをお願いいたします。

対象のIDかどうかの確認はこちら
         http://docs.id.yahoo.co.jp/confirmation.html

また、今回、対象IDではない方についても、今後安心してサービスをご利用頂くため
、下記リンク先でご案内している対策を講じることをご一考いただければ幸いです。

      もっと安全ガイド
           http://id.yahoo.co.jp/security/

弊社では、今回の事態を深刻に受け止め、全社を挙げて引き続き再発防止策を速やかに実行してまいります。



●パスワード再設定用の「秘密の情報」約148万件が流出の可能性 - ヤフー
             (Security NEXT - 2013/05/23
「Yahoo! JAPAN」のサーバが不正アクセスを受けた問題で、利用者IDだけでなく、
パスワードを忘れた際に用いる「秘密の情報」なども流出した可能性が高いことがわかった。

今回問題となっている不正アクセスは、5月16日21時ごろに発生。
「Yahoo! JAPAN」で利用されているIDは約2億件のうち、
最大2200万件のIDを抽出したファイルがヤフーのサーバ内に生成された。
同社では外部へ送信されたおそれがあるとし、5月17日に事態を公表している。

発表当初、同社はID以外の情報について漏洩を否定していたが
その後の調査で、約2200万件のうち148万6000件については、
暗号化されたパスワード、およびパスワードの再設定に用いる「秘密の質問」が流出した可能性が高いことが判明したという。

これら情報を利用して、同社サービスへログインすることはできないが、同社は「秘密の質問」によるパスワードの再設定機能を一時的に停止した。

また対象のIDに対して、5月24日早朝を目途に、「パスワード」および「秘密の質問」のリセットを強制的に実施するとしており、
利用者へ再設定を呼びかけている。

同社では、利用しているIDが不正アクセスを受けた約2200万件に含まれるか確認出来るページを用意しているが、
現時点で「秘密の質問」が流出したか確認はできない。

関連記事

 ★ヤフーのID管理サーバに不正アクセス - 最大2200万件のID抽出ファイルがサーバ内に
 ★ジェーシー・コムサのショッピングサイトに不正アクセス - カード情報など流出のおそれ
 ★古着通販サイト「RAGTAG」に不正アクセス - 約3万人分のメアドやPWが流出
 ★JINSのカード情報流出で最終報告 - 「システム開発会社に責任」
 ★「JINS」のカード情報流出、中間報告で被害件数が判明
 ★ドコモ米国子会社に不正アクセス、顧客情報流出 - クレカ情報も
 ★スマホ向け認証決済サービス「mopita」で不正ログインが発生 - 不正課金は確認されず
 ★JAXAに不正アクセス、宇宙実験棟「きぼう」関係情報や関係者メルアドが流出
 ★「eBookJapan」で不正ログイン被害 、他所で漏洩したIDとPWを利用か - ログイン試行2回以下が9割
 ★フレッツ光の会員サイト、特定IPからの不正ログインが再発 - 全会員にPW再設定を要請



●ヤフー、暗号化パスワード148万件流出の可能性 不正アクセス
                 日経 2013/5/24
 ヤフーの玄関(ポータル)サイト「ヤフー!ジャパン」が不正アクセスされた問題で、同社は23日、148万6千件のユーザーIDについて暗号化されたパスワードなども流出した可能性があると発表した。パスワードは暗号化されているので第三者の手に渡っても、そのままでは使えないと説明している。

 パスワードなどの流出の可能性があるのは、16日の不正アクセスで抜き取られた恐れがある2200万件のIDの一部。当初、パスワードなどの流出はないとしていたが、サーバーへのアクセス履歴などを調べた結果、判明した。

 パスワードを忘れた場合の再設定に使う「秘密の質問」も流出した可能性があり、ヤフーは悪用を防ぐため「秘密の質問」を使ったパスワードの再設定機能を全面停止。24日早朝には148万6千件のパスワード、秘密の質問をリセットする。利用者はログイン時にパスワードなどを改めて設定し直す必要がある。

 ヤフーは16日の不正アクセス後、ポータルサイトで利用者自身が自分のIDが流出した可能性があるか確認できる機能を用意。該当する場合にはパスワードの変更などを呼びかけていた。

 ヤフーは「今回の事態を深刻に受け止め、全社をあげて引き続き再発防止策を速やかに実行する」とコメントした。

 ヤフーは4月にも不正アクセスされ、127万件のIDやパスワードなどが流出しかけた経緯がある


●ヤフー、パスワード149万件流出 「秘密の質問」も
               朝日 2013年5月23日
 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の質問」への答えも同時に流出していた可能性が高いと発表した。パスワードは暗号化されており「解読は不可能」(広報)としている。

 「秘密の質問」の答えは暗号化されておらず、ハッカーに見られる可能性が高いが、パスワードを変えるには今回流出していない生年月日も入力する必要があり、広報は「本人以外が不正にログインするおそれはない」としている。

 ヤフーは、約149万件のパスワードを24日早朝に強制的にリセットする。対象になった人は、ヤフーの指示に従ってパスワードを設定し直す必要がある。17日に流出を発表した際には、「ID以外の情報は流出しなかった」としていたが、その後の調査で流出が判明したという。

●対象ユーザーのパスワードは24日早朝にリセット:
ヤフー、ハッシュ化されたパスワード情報と秘密の質問、約148万件流出の可能性
          ITmedia 2013年05月23日 23時49分
ヤフーは5月23日、5月17日に明らかにした同社サーバへの不正アクセスに関連し、148万6000件について、Yahoo! JAPAN IDに加え、ハッシュかされたパスワードと秘密の質問の一部が流出した可能性が高いと発表した。

ヤフーは5月23日、5月17日に明らかにした同社サーバへの不正アクセスに関連し、148万6000件について、Yahoo! JAPAN IDに加え「不可逆暗号化されたパスワード」と「パスワードを忘れてしまった場合の再設定に必要な情報」の一部が流出した可能性が高いと発表した。

 同社は5月17日、最大2200万件のYahoo! JAPAN IDが流出した可能性があると発表していた。4月2日の不正アクセスを受けて監視体制を強化していたところ、5月16日午後9時ごろに不審なログインを検知。最大2200万件のIDが抽出されたファイルが作成されたことが判明した。ただしこの時点では、パスワードや、パスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていないとしていた。

 しかしその後調査を続けたところ、2200万件のIDのうち148.6万件について、不可逆暗号化されたパスワード、つまりハッシュ化したパスワード情報と、パスワードを忘れてしまった場合の再設定に必要な情報の一部も流出した可能性が高いことを確認した。なお同社広報によれば、具体的にどのようなアルゴリズムを用いてハッシュ化していたか、またソルトの有無などについては、万一にも解読される可能性があってはならないため明らかにはできないという。

 また、秘密の質問を用いてパスワードを変更する際には、同時に生年月日も入力する必要があるため、その情報だけでログインすることはできないとしている(ただし、IDに数字を使い、誕生日などの情報を組み入れていた場合は、推測が容易な状況といえる)。

 同社はこの事態を踏まえ、23日19時から、秘密の質問を利用してパスワードを再設定する機能を一時的に停止した。
さらに24日早朝をめどに、対象IDのユーザーのパスワードと秘密の質問をリセットする予定だ。当該ユーザーにはあらためて、再設定の手続きを取るよう求めている。

 さらに同社は、「もっと安全ガイド」を参照し、「ログインアラート」や「シークレットID」「ワンタイムパスワード」などの対策を講じるよう呼び掛けている。



コメント ( 0 ) | Trackback ( )