◆ヤフーから不正アクセス被害の告知／「落とし穴 ビッグデータ戦略を揺るがすサイバー攻撃」（日経）

　ヤフーでは今年の４月大量の顧客情報流出事件があり、続いて５月１６日ごろには２２００万件を超える流出があった。
　情報が漏れたユーザーには、直後に、ユーザーに連絡して対策を求める、ともされた。
　　　　　　（参考）２０１３年５月２４日　⇒　◆ヤフーに不正アクセス／２２００万件の利用者ＩＤ流出か／Webサービスの「パスワード使い回し」注意
　　　　　　　　２０１３年５月２４日　⇒　◆ヤフー、暗号化パスワード１４８万件流出／パスワードは２４日早朝に強制的にリセット

　私は、１０数年前、ヤフーの無料ページでウェブサイトを作ったので、会員登録した。
　その利用は数年だったので、長らく、ヤフーにはアクセスも利用もしていない。

　とはいえ、流出し得る対象の「登録者」であろう・・・何か連絡があるのかな、と思っていた。
　・・・でも、何もなかった。

　ところが、６月６日に（今は使っていないアドレスに）ヤフーからメールが配信された。
　書き出しは、
　　「2013年5月16日に判明した当社サーバーへの不正アクセスにつきまして、
　　　その後詳細な調査を続けていたところ、お客様のYahoo! JAPAN IDは、
　　　以下の情報が外部に流出した可能性が高いことがわかりました。・・・・」

　ということで、最近の情流出や背景、ねらい、危険などについての分かりやす意見をネットで見ておいて、自戒とした。
　例えば、
　日経は、
　「インターネット上で展開する各種サービスは、単に商品を陳列し、ユーザーに購買を促しているだけではない。どこを見たかという閲覧情報、過去の購買履歴、口コミに書き込んだ意見、友人へのおススメなど、ユーザーが実行した全ての行動履歴を収集している。
それを元に顧客が何を求めどのように行動するのかを予測して、働きかける。
多くの商用サービスが、こうしたビッグデータを活用するマーケティング手法を導入しつつある。

　その膨大な情報の全てを結び付ける中核に当たるものが、今回狙われたユーザーＩＤである。
ユーザー固有の情報という意味では、国が進めているマイナンバーのような公的な個人識別情報も、ビッグデータの基盤となりえる。
こうした戦略のハブとなる中核情報は確実に守らなければならない情報である。」

　AdverTimes（アドタイ）は、
　今年1月から3月にJPCERT/CCに報告されたインシデント（情報セキュリティ上脅威となる事案）では、ウェブ改ざんの件数が前4半期から61％増加し、1184件にのぼった。
　ウェブ改ざんには、画像などを挿入する目に見えるものから、ウイルス配布サイトなどの攻撃サイトへの誘導といった目に見えない改ざんもある。「つまり、改ざんされたウェブの閲覧者のPCがウイルスに感染する恐れがあり、顧客などに迷惑をかける危険性もあります。目に見える改ざんであっても、不正侵入されているということなので、他の情報を窃取されている可能性があります」（満永氏）。結果、攻撃を受けた企業のブランドは失墜しかねない。

　やっぱり、自ら注意するしかない。

　ところで、昨日、ＦＡＸが入ってきた。
　西日本の人で、住所氏名も携帯番号も書かれ、用件が記されていた。
　冒頭に「○○日の深夜バスで伺いますので、いつでもいいですから１時間ほど相談に乗ってください」との旨だった。
　
　突然だし、「強引なひと」と思っていたら電話が入った。

　・・・・「図書館のパソコンで調べて知りました」
　・・・「そんな話ならすぐは済まないので、まず、文案をメールで送ってください。」

　と、面会はさりげなくお断りし、メールでのやりとりにした。

●人気ブログランキング　=　今、２位あたり
　★携帯でも　クリック可にしました　→→　携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「１０点」　←←

　★パソコンは　こちらをクリックしてください　→→←←このワン・クリックだけで１０点

　ヤフーから私のところに来たメール　／2013/06/06 (木) 16:17

************************************************************** 本メールは、当社サーバへの不正アクセスの対象となったお客様のうち、 2013年6月6日（木）時点で、「パスワード変更」「秘密の質問と答え」の設定が お済みでない方にお送りしております。ご案内が行き違いとなりました場合には、 ご容赦くださいますようお願いいたします。 ************************************************************** Yahoo! JAPAN ID：■■■■■■■■■■様　 （※安全のためIDの一部を「*」と表記しています） いつもYahoo! JAPANをご利用いただきましてありがとうございます。 2013年5月16日に判明した当社サーバーへの不正アクセスにつきまして、 その後詳細な調査を続けていたところ、お客様のYahoo! JAPAN IDは、 以下の情報が外部に流出した可能性が高いことがわかりました。 ・Yahoo! JAPAN ID ・パスワードを暗号化した文字列 ・パスワード再設定時に必要な情報の一部（秘密の質問と答え） お客様にご迷惑をおかけいたしましたことを、心よりお詫び申し上げます。 つきましては、お手数をおかけし大変申し訳ございませんが、安全のため、 以下の手順にて「パスワード」と「秘密の質問」とその「答え」の再設定を お願いいたします。 ------------------------------------------------------------------------------- 【1】パソコン、スマートフォンより、Yahoo! JAPANのトップページに アクセスしてください。 【2】ページ上部に表示されている「ID流出に関するお願い」の「確認する」 ボタンを押してください。 【3】ログイン画面が表示されます。お客様のIDとパスワードでログインしてください。 【4】表示された画面にて「パスワード」と「秘密の質問」とその「答え」を 再設定してください。また、ご本人様確認のために、IDを登録された際に入力した 「生年月日」を入力してください。 【5】お手続きは完了です。引き続きYahoo! JAPAN IDをご利用ください。 ------------------------------------------------------------------------------- IDのパスワードがわからずログインできない場合は、ログイン画面の 「ID、パスワードを忘れた」のリンクから、「パスワードの再設定」を お試しくださいますようお願いいたします。 また、【4】で、ID登録時に入力した「生年月日」がわからず、何度お試し いただいてもエラーとなる場合は、エラーメッセージに表示される画面にて、 「パスワードの再設定」をお試しください。 なお、「パスワード再設定」ができない場合は、IDを登録されたご本人様で あるとの確認が行えないため、該当IDはご利用いただけない状態となります。 大変心苦しい限りではございますが、あらたに別のYahoo! JAPAN IDを取得し、 引き続きご利用いただけますと幸いです。 弊社といたしましては、このたびの事象に対し「お客様のIDを第三者の悪用から お守りする」ことが第一と考え、ご本人様の情報をもとに「パスワード」と 「秘密の質問」と「答え」の再設定をお願いしております。何卒ご理解、 ご了承くださいますようお願い申し上げます。 また、今後同様の事象が発生しないよう、全社をあげてセキュリティの強化や 再発防止策を徹底してまいります。 あらためまして、お客様にご心配、およびご迷惑をおかけいたしましたことを 深くお詫び申し上げます。 これからもYahoo! JAPANをよろしくお願いいたします。 ヤフー株式会社 =============================================== 【ご注意ください】メールによるフィッシング詐欺について Yahoo! JAPANからお客様に、Yahoo! JAPAN IDやパスワードなどを含む 個人情報をメールで直接問い合わせることはございません。 また、メール本文にURLが記載されている場合は、クリックする前に 必ずURLをご確認ください。 ===============================================

●ネットの落とし穴　ビッグデータ戦略を揺るがすサイバー攻撃 　　　　　　　　　　　日経　2013/5/27 ／ラック　専務理事　西本　逸郎 ■ヤフーで暗号化したパスワードなどが流出 　ヤフーは、17日の「最大で2200万件のIDのみが流出した可能性がある」との発表に加え、 23日夜にはそのうち148万6000件についてＩＤ以外に「暗号化されたパスワードとパスワードを忘れてしまった場合の再設定に必要な情報（秘密の質問）も流出した可能性が高い」ことを確認したと発表した。 　今回追加で発表した内容を使っても即座に不正ログインできるわけではない。だが、ユーザー固有の情報にアクセスできる情報の流出が後から判明したのは看過できない状況だ。 　事件が発生した場合の鉄則は「最悪を前提とした対応」である。 　今回は、それが徹底できていたかという疑問が残る。現場の勇み足ではなく、危機対応作業の過程で“速やかな対応”を優先したことにより、最悪の想定がおろそかになったのではないかという疑問を持たざるを得ない。 　一般的には、期限を区切った上で、事件が起きた現場に存在するデータ全てが流出したものとして調査に入る。 その一方、最悪時の衝撃を覚悟して被害拡大防止の観点から対応を考慮して、外部への発表などと様々な対応に備える。調査の結果、明確に流出を否定できなかったものは、流出した可能性があるものとして取り扱うのが常識だ。 　また、今回の件が当てはまるかはまだ不明だが、　最近の情報持ち出し事件の特徴は、発生した場所以外の重要領域にしか存在していないデータについて漏洩の痕跡が見つかることが多い点である。 つまり、犯人が別領域のデータを、何らかの方法で持ち出し可能な領域に集積しているということだ。 ヤフー社内では、多数の技術者が対応作業をしているに違いない。今回、その可能性を含めて調査していると推測するが、原因分析が完了するまでは全ての可能性は排除してはいけない。ぜひ、もう一度原点に戻り、最悪を前提に再起を図ってほしい。 ■ＩＤはビッグデータの要諦 　インターネット上で展開する各種サービスは、単に商品を陳列し、ユーザーに購買を促しているだけではない。どこを見たかという閲覧情報、過去の購買履歴、口コミに書き込んだ意見、友人へのおススメなど、ユーザーが実行した全ての行動履歴を収集している。 それを元に顧客が何を求めどのように行動するのかを予測して、働きかける。 多くの商用サービスが、こうしたビッグデータを活用するマーケティング手法を導入しつつある。 　その膨大な情報の全てを結び付ける中核に当たるものが、今回狙われたユーザーＩＤである。 ユーザー固有の情報という意味では、国が進めているマイナンバーのような公的な個人識別情報も、ビッグデータの基盤となりえる。 こうした戦略のハブとなる中核情報は確実に守らなければならない情報である。 　分析対象は膨大で、販売データ、ネットでの行動履歴などを総合的に分析する。データに含んでいる個人情報は、一般的には「見ない」あるいは「削除や置き換え」をすることで個人情報の流出につながらないように考慮するが、最終的にはユーザーＩＤなどで個人ごとに結果が出るようになる。 　つまり、ネットや当該サービスの中で、（Ａ）個人を識別（ニックネームのような存在）するユーザーＩＤ、（Ｂ）個人認証で使用される個人識別ＩＤ、（Ｃ）ビッグデータなどによる分析結果に利用される個人ＩＤ、という少なくとも３つの区別と厳重な管理が必要になるのだ。 　通常、公開するものは（Ａ）のみである。本人が公開をしない限り、（Ａ）と個人情報を結びつけるものは、ネットなどの公の場で存在しない。一方、（Ｂ）は本人とサービス提供者のみが使用するもので、本人同意のもと必要な個人情報をサービス提供者が管理している。（Ｃ）は、本人を含めサービス提供者の中でもごく一部しか個人情報と紐づけすることができないものである。 　つまり、個人の行動履歴や行動特性を示すこととなるビッグデータ解析結果と、個人を紐づけている情報、つまりはＩＤの管理は徹底しなければならないということだ。 ヤフーがもつインターネット上で共有している膨大な情報や、巨大なサービス群は、間違いなくビッグデータの一翼を担うものだ。２億ＩＤにも及ぶ利用者、そして今回流出したとされる2200万件のＩＤという数字にしても、情報の固まりという意味で日本国内では例のないほどあまりに重要かつ貴重な情報である。その重要性を十分に認識しているヤフーでさえ、不正攻撃によって漏洩してしまう事態になっていることは深刻な事態だ。 ■漏洩が続くとビジネスの根幹にかかわる 　今後、個人を識別する情報を狙う流れが、さらに加速することを恐れている。 　ＩＤやパスワードに関わるアカウント情報の窃取や不正ログインに関する事件が今年4月以降多数発覚している。 そして、狙われているサービスが、ショッピングだけではなくゲームなどのサービスにも及んでいることに着目している。 単に金銭目的のみなのか、別の悪用を考えているのか、現時点でよくわからないところが不気味である。 　ＩＤの漏洩が続くと、利用者が危険を感じて登録しないようになったり、場合によっては収集や活用に法的な制約が出てくる可能性もある。 ビッグデータを活用したビジネスを考えている企業にとっては、まさに死活問題だ。 　既に、これまで漏洩したアカウント情報を悪用して、ほかのサイトに不正ログインを試してみることが考えられる。 ヤフーのような大規模サイトだけではなく、会員を保持して運営している多くのサイトは、対岸の火事と考えずに自らのサイトも既に被害が発生しているかもしれない、という視点で点検し、不正ログインはないか、秘密の質問が悪用されていないか、チェックしたい。 　また今後、ユーザーの安心を獲得し、データを活用していくためには、ＩＤを特性に応じて整理し、合理的に管理していくようにしていきたい。 　一方、インターネットでサービスを利用するユーザーは、セキュリティ対策を意識できているサイトかどうかを見極め、賢く利用していただきたい。 西本　逸郎（にしもと・いつろう）　ラック ＣＴＯ 専務理事。北九州市出身。1986年ラック入社。2000年よりサイバーセキュリティー分野にて、新たな脅威に取り組んでいる。日本スマートフォンセキュリティ協会 事務局長、セキュリティ・キャンプ実施協議会 事務局長などを兼務。著書は「国・企業・メディアが決して語らないサイバー戦争の真実」（中経出版）

●不正な攻撃の被害者であっても、情報流出は企業価値を毀損する 　　　　　　　　　AdverTimes（アドタイ）-2013/05/26　 必要最低限の情報セキュリティ対策、ウイルスソフトのインストールや社員への啓蒙を行っている企業は多い。 しかし、企業は高度化する手法に対抗すべく自社の現行の予防法を見直すべき時期に来ている。 なぜなら、標的型メール攻撃の場合、ウイルスが入り込むのはメールや通常のウェブ閲覧を通じたものであり、人が能動的に動くことによってウイルスが蔓延するからだ。そして、入り込んだウイルスは、組織内部に潜伏してデータを抜き取っていく。 ―17日、ヤフーは最大2200万件にのぼるID情報を抜き取られた可能性があると発表した。4月にも不正アクセスによる攻撃を受けたばかりだ。 米国では先日、AP通信が不正アクセスにより「オバマ大統領のケガ」を報道し、話題になった。 個人情報を扱う企業や報道機関への攻撃は、なぜ頻発するのか。 広報会議6月号の巻頭レポートでは、高度化するサイバー攻撃の実態について取り上げました。アドタイでは、3回にわたってご紹介します。 ITを取り巻く環境や時代変化に伴い、サイバー攻撃の手法、攻撃者の意図は多様化している。これらに企業が巻き込まれることは、金銭的に大きな損害を受けることにとどまらず、株価や経営環境に大きな打撃を与え、対応の仕方によっては、そのブランドを毀損する危険性もある。 規模や業種問わず危険が迫っている 企業や組織が保有している機密情報（個人情報や特許情報、財務関連情報など）を狙ったこれらの攻撃にさらされているのは、一部の大企業や先端技術を持つ企業に限られたことではない。 国内サイトがサイバー攻撃を受けた際、その対応支援を行うJPCERT/CC 情報セキュリティアナリストの満永拓邦氏は、「標的型攻撃は、ターゲットとする企業に対して直接攻撃を行うこともありますが、関係会社や取引先に攻撃を行い、それを踏み台として間接的にターゲットを狙う例も多い」と規模や業種に関わらず全ての企業・団体に注意を促す。 また、標的となる機密情報は、必ずしも攻撃対象だけが持っている訳ではなく、取引先もその一部を保持している。情報は必ずしも、フルで得られなくてもよいもの。断片的な情報から推測することも可能だ。 サイバー攻撃に詳しいデロイトトーマツリスクサービスの丸山満彦氏は、「いまや情報セキュリティ対策は、企業のブランディングの一環と考えた方がよい」と話す。 たとえば、ウェブ改ざんやSNS のなりすましなどのニュースが報道されると、標的となった企業のセキュリティ対策の〝甘さ〞が印象として残る。「たとえ、アクセスの仕方が不正であっても、ニュースでは〝情報漏えい〞などと報道されることで、その企業への信頼が失われることがあります」。 今年1月から3月にJPCERT/CCに報告されたインシデント（情報セキュリティ上脅威となる事案）では、ウェブ改ざんの件数が前4半期から61％増加し、1184件にのぼった。 ウェブ改ざんには、画像などを挿入する目に見えるものから、ウイルス配布サイトなどの攻撃サイトへの誘導といった目に見えない改ざんもある。「つまり、改ざんされたウェブの閲覧者のPCがウイルスに感染する恐れがあり、顧客などに迷惑をかける危険性もあります。目に見える改ざんであっても、不正侵入されているということなので、他の情報を窃取されている可能性があります」（満永氏）。結果、攻撃を受けた企業のブランドは失墜しかねない。 攻撃に気づかないケースもある リスクコンサルタントの白井邦芳氏は、国際ハッカー集団「アノニマス」のような抗議を目的とした攻撃にも注意すべきだと話す。インターネットへの検閲や政府・企業の情報統制に対する抗議を目的とした彼らの活動には、マスメディアが注目しているからだ。 「暴かれ方がどのような方法であれ、その動向が注視されているアノニマスに情報を抜き取られ、企業にとってはよくない情報が表に出てしまうことは大変な損害になり得ます」。 白井氏はさらに最近の攻撃の危険性について「〝攻撃〞であることが必ずしも明らかではないため、被害者が機密情報を抜き取られたことに、すぐに、もしくは長期間気づかないことも多い」と指摘する。偶然、標的型メール攻撃において、なりすました人物や組織に連絡をとったことで「そんなメールは送っていない」と言われ、事態が発覚するケースもある。 また、攻撃に気づかないと同時に、それが発覚した時にも「被害の全容や攻撃者の意図が解明されづらいケースが増えている」（丸山氏）。 広報担当者は万が一の事態に備え、正確・迅速な対応ができるよう、ニュースレベルのセキュリティ動向や上に示したようなインシデントの種類、用語などを知り、発生時のシミュレーションをしておくことが求められる。