読者です 読者をやめる 読者になる 読者になる

Flickrのために登録した米Yahoo!アカウントで情報流出

セキュリティ 画像処理 言葉

 米Yahoo!で10億アカウント以上の情報流出があったと2016/12/15に報じられています。
米ヤフー、新たに10億人以上の情報流出 過去最大 :日本経済新聞

 日本のヤフー、すなわちYahoo! Japanはこの件とは無関係ですので、日本の多くのネットユーザーには関係ないと思われがちですが、私は直撃していたようです。
 過去にFlickr(米Yahoo!に買収された)を利用するため、アカウント登録していたためです。私と同様に、写真愛好家やフォトグラファーなどFlickrを利用するために、米Yahoo!に登録していたユーザは対策及び注意・警戒が必要かもしれません。
 なお、Tumblr(米Yahoo!に買収された)のアカウントは影響を受けていないようです(後述)。
 

Yahoo!から届いた通知

 米Yahoo!から"Important Security Information for Yahoo Users"というタイトルで、米Yahoo!のChief Information Security OfficerであるBob Lord氏の文責のメールが届きました。
f:id:kachine:20161216223237p:plain

 "What Happened?", "What Information Was Involved?", "What We Are Doing", "What You Can Do", "For More Information"の5段落からなるメールで、「起きたこと」、「漏れた情報」、「取った対策」、「ユーザができること」、「詳細情報」と、各項目について簡潔に記載されており、状況を把握しやすい内容となっています。
 ですが、"sorry"だとか"apology"だとかいった類のワードはありません。米Yahoo!にしてみればハッキング被害にあった側で、ユーザに謝罪してしまうと巨額の賠償を請求されるのを恐れているのかもしれませんが、良くも悪くも日本企業とは違います。

 以下に、重要そうな情報だけ適当に意訳しておきます。
  

漏れた情報

 これらは確定的ではなく、漏れた「かも」(英語原文: may)しれない情報のようです。

  • names
    氏名
  • email addresses
    メールアドレス
  • telephone numbers
    電話番号
  • dates of birth
    生年月日
  • hashed passwords (using MD5)
    MD5でハッシュ化(後述)されたパスワード

 場合によっては、

  • encrypted or unencrypted security questions and answers
    (暗号化されていないかもしれない)秘密の質問とその答え

 も含まれるそうです。

 なお、調査によって

  • passwords in clear text
    平文パスワード
  • payment card data
    支払カード情報
  • bank account information
    銀行口座情報

 は含まれていないことが判明しているようです。そもそも影響を受けたシステムには、payment card data、bank account informationは保存されていないとも記載されています。
 

(米Yahoo!が)取った対策
  • We are requiring potentially affected users to change their passwords.
    影響を受けた可能性のあるユーザにパスワード変更を求めている。
  • We invalidated unencrypted security questions and answers so that they cannot be used to access an account.
    暗号化されていなかった秘密の質問を無効化し、攻撃者がアカウントへのアクセスに使えないようにした。
  • We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.
    継続的に安全策とシステムの強化を行い、権限のないユーザアカウントへのアクセスを阻害・検出している。

 

ユーザができること
  • Change your passwords and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
    Yahoo!と同じまたは類似した情報を使っている他のアカウントのパスワードと秘密の質問とその答えを変更する。
  • Review all of your accounts for suspicious activity.
    アカウントの疑わしいアクティビティを確認する。
  • Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
    不意に個人情報を求めてくるコミュニケーションや個人情報を確認させるWebページに注意する。
  • Avoid clicking on links or downloading attachments from suspicious emails.
    疑わしいメールのリンクをクリックしたり、添付ファイルをダウンロードしない。

 

 なお、For More Informationとして公開されているページは以下になります。
Yahoo Security Notice December 14, 2016 | Account Help - SLN27925

 本投稿の冒頭に、Tumblrには影響無しと記載しましたが、上記ページのFAQに以下が掲載されていることを根拠としています。

Are Tumblr accounts affected?


No. The systems from which the data was stolen in August 2013 contained no Tumblr user data at the time of the theft. Additionally, Yahoo has no indication that the forged cookies were used to access Tumblr accounts.

 データが盗まれた当時、Tumblrのユーザ情報は当該システム上に存在しなかったため影響なしと記載されています。

 また、MD5でハッシュ化されたパスワードが盗まれた可能性のある情報に含まれていますが、ソフトウェアエンジニア以外には解りにくいかもしれません。これについても平易に説明されています。

What is a "hashed" password?


Hashing is a one-way mathematical function that converts an original string of data into a seemingly random string of characters. As such, passwords that have been hashed can't be reversed into the original plain text password. At the time of the August 2013 incident, we used MD5 to hash passwords. We began upgrading our password protection to bcrypt in the summer of 2013. Bcrypt is a password hashing mechanism that incorporates security features, including salting and multiple rounds of computation, to provide advanced protection against password cracking.

 元の文字列データを、ランダムに見える文字列に変換する単一方向の数学的関数がハッシングです。ハッシュ化されたパスワードは元の平文パスワードに戻すことはできません。データが盗まれた当時はMD5方式のハッシュ関数を使っていました。2013年夏からはクラッキングに対してより強固に保護できるbcrypt方式にアップグレードを始めていました。といった趣旨の説明があります。

 まだ解りにくいという方のために、もう少し具体的に説明すると、パスワードが仮に"password"だった場合、MD5でハッシュ化すると"5f4dcc3b5aa765d61d8327deb882cf99"という文字列になります。ランダムに見える文字列に変換するとはこういうことなのです。そして、MD5でハッシュ化された"5f4dcc3b5aa765d61d8327deb882cf99"が漏洩したとしても、元のパスワード("password")に戻すことはできないから安心ですよ。という主張です。ですが、この主張を鵜呑みにしないでください。
 FAQで"one-way"とか"can't be reversed"と説明されていますが、逆変換は計算量が膨大で困難ですが、現在では逆変換に成功した報告がいくつもあります。(「MD5 逆変換」「MD5 復号」等で検索してみれば解ります。)

 ですので、米Yahoo!と同じパスワードを使いまわしている他のサービスがある場合、非常に危険です。「ユーザができること」にも記載されていますが、米Yahoo!と同じまたは類似した情報を使用している他のアカウントのパスワードと秘密の質問とその答えを根こそぎ変更する必要があるでしょう。
 



以上。