何が起こったのか?

5月16日の夜、最大2,200万件のYahoo! JAPAN IDが「外部に流出した可能性は否定できない」という事態が発生した。5月17日発表の時点ではIDのみの流出の可能性だけであった。

Yahoo! JAPANに不正アクセス、最大2200万件のユーザーID流出の恐れ

ところが、5月23日に追加発表があり、「148.6万件のYahoo! JAPAN IDについては、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認」したという。

Yahoo! JAPAN IDは約2億あるということなので、約10%のIDが不正に流出し、さらにそのうち約6.7%に関しては、いわゆる「秘密の質問」とパスワードが正しいかチェックできるデータが漏れたということになる。

Yahoo! JAPANの不正アクセス拡大か - 一部IDのパスワードを強制リセット

4月2日にもYahoo! JAPANの管理サーバーへ不正アクセスがあり、最大127万件のYahoo! JAPAN IDを抽出したファイルを外部から作成されている。この時点で「全社を挙げて原因究明と再発防止に取り組んでまいります」というコメントを出した。以降の追加発表を見る限り、再発防止策が徹底できていなかった、もしくは対策を上回る技術や頻度で不正アクセスが行われたと言えるだろう。

上記とは別件だが、5月25日夜に1,427名、続いて94,317名分のメールアドレスを、ヤフオク!のストアニュースレターに登録した他のユーザーに送信するという事態が発生。これはオペレートミスが原因で、不正にアクセスされたものではない。

話を戻して、5月23日にYahoo! JAPANは、ID流出対象に該当するかどうかを確認できるページを用意している。数回の変更が行われており、最初のうちはどういう状況か分かりにくかった(例えば23日頃にアクセスした時点で「C」判定が何を意味するのかよく分からない)。

ID流出に該当するかどうかの判定結果。5月23日頃に公開された初期の段階ではこのような表記

こちらは「クロ」判定の画像。この時点ではID流出だけか、秘密の質問も漏れたか分かりにくい。しかし、秘密の質問の再設定を促している

その後、判定結果(ここでは「C」)が分かるようになったが、この「C」が何を意味するのか、このページでは分からない(ただし、判定結果の説明ページはすでに存在していたもよう)

筆者がいくつかのYahoo! JAPAN IDを調べてみたところ、1つがC判定、つまりIDだけでなく「不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高い」になっていた。

補足すると、Yahoo! JAPANの場合、Yahoo! JAPAN IDを作成してログインすると、初期状態では「(ID)@yahoo.co.jp」のメールアドレスがもらえる。Yahoo! JAPAN IDが漏れたということは、何らかの方法でパスワードを知ればログインできるのと同時に、ID@yahoo.co.jpというメールアドレスがあるだろうと推測できる。

現在(2013年6月4日時点)の判定結果の表示。何をしなければならないか、何が起きたのかが分かるようになっている

こちらが現在の問題ない人の表示

筆者はヤフオクのメールマガジンによる流出被害には遭遇していないが、別件のメールアドレス大量流出に巻き込まれた。写真のメールは1,400近いメールアドレスに対して送信されており、他人のメールアドレスが分かってしまう(画像は一部で全体は5倍くらいある)。さらに、同じ本文のメールが160通以上届いた

次ページ: 何が問題になるのか?