Yahoo Provides Notice to Additional Users Affected by Previously Disclosed 2013 Data Theft

今年米Yahooを買収した米ベライゾンのインターネット事業子会社のOathは10月3日(米国時間)、「Yahoo Provides Notice to Additional Users Affected by Previously Disclosed 2013 Data Theft」において、当初の発表と異なり、2013年8月に発生したデータ漏洩の対象がすべてのユーザーアカウントに及んでいたことが明らかになったと伝えた。当初、10億件を超えるアカウントのデータが漏洩したと見られていたが、今回の発表で30億件ほどのアカウントデータが漏洩したことが明らかになった。

米Yahooの大規模データ漏洩は2016年12月14日に発表が行われたが、当時は10億件を超えるアカウントデータが漏洩したとされていた。漏洩したデータには平文状態のパスワードやクレジットカード情報、銀行アカウントの情報などは含まれていないと発表されている。

米Yahooは影響を受けたと見られるアカウントを対象として通知を行い、パスワードの変更とセキュリティクエスチョンの変更などを求めていた。今回の調査結果を受けて、同社は追加アカウント分に関してユーザーに通知を行っていると説明している。このデータ漏洩は史上最大規模のアカウントデータの漏洩になると見られる。

2013年8月の時点でYahooのアカウントを持っていた場合は、パスワードの変更やセキュリティクエスチョンの変更などを実施したほうがよいだろう。また、他のWebサービスでも同じパスワードを使っている場合はそちらも変更したほうがよい可能性がある。なお、米YahooのアカウントとYahoo Japanのアカウントは別であり、Yahoo Japanのアカウントは影響を受けないとされている。

一般に、漏洩したデータはほかのソーシャルネットワークサービスの不正ログインに使われることが知られており注意が必要。多くのセキュリティファームやセキュリティベンダーが、パスワードを使い回すことなくサービスごとに別のパスワードを使い、2要素認証などの設定を行うなどして、アカウントが不正利用されにくい状況を作っておくことなどを推奨している。