(5/23 追記)
Yahoo! Japanからパスワードに関する情報も流出した可能性が高い、との追加発表あったので、その内容について追記しました。
先週末の 5/17に Yahoo! Japanから発表があり、外部からの不正アクセスによって最大 2,200万件の Yahoo! Japan IDが流出した可能性があるということです。該当するユーザはコチラのページ(要ログイン)で自分が流出対象かどうか確認することができます。
5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバに外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました。
そのファイルが外部に流出したかどうかは確認できていませんが、サーバと外部との通信量からみると流出した可能性は否定できないと考えています。作成されていたファイルには、パスワードやパスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていません。IDはサービス上に表示されて誰でも見ることができる公開情報で、ユーザーの皆様の個人情報は一切含まれておりません。
すでにいろいろな方がこの件について書いておられますが、一般ユーザが注意すべきことに絞ってあらためて書いておきたいと思います。(たとえばコレとかコレとかコレとか。コチラのまとめは相変わらず素晴らしいですね。)
Yahoo! Japan IDを利用している一般ユーザが注意すべきことを、(1) Yahoo! Japanのサイトでやること、(2) 他のサイトでやること、に分けてまとめます。
Yahoo! Japanのサイトでやること
(A) 不正アクセスへの対策
Yahoo! Japanからのプレスリリースにもあるように、今回流出した可能性があるのは IDのみで、パスワードやその他の情報は含まれていないようです。そのため Yahoo! Japanは対象ユーザのパスワードリセットは実施しておらず、自主的なパスワード変更を促すのみにとどめています。もしあなたが他人から簡単に推測できるようなパスワードを使っているのであれば、今すぐパスワードを変更しましょう!
さらに今回流出の対象になった人もなっていない人も、不正アクセスを防ぐ方法として以下の2つは非常に効果があるので、設定することを強くオススメします*1。
シークレットIDは Yahoo! Japan IDのかわりにログイン時のみに使用する秘密の IDです*2。Yahoo! Japan IDはメールアドレスとしても利用されますし、そもそもサービス上は非公開の情報ではありません。しかしシークレットIDは本人以外には開示されないので、不正アクセスを試みる攻撃者は IDとパスワードを両方とも推測する必要あります。
ワンタイムパスワードは、ログイン時において通常のパスワードの他に、もう一つ別の種類のパスワードが必要になるというものです。あらかじめ設定したメールアドレスでパスワードを受け取るか、アプリを使用して表示されるパスワード(6桁の数字)を入力します。メールを使う場合には携帯キャリアのメールアドレスを使うべきですが、障害でメールが受け取れないなども想定されるので、私はアプリの利用をオススメします。Yahoo! Japanが提供する専用アプリ (iOS/Android) を利用してもいいですし、HDE OTP (iOSのみ) のように Yahoo! Japanに対応したサードパーティのアプリを利用してもいいです*3。
これらを利用する際の注意点ですが、シークレットIDはメールサービスなども含めて Yahoo! Japan上のすべてのログインに適用されます。そのため PCやスマホなどのメールクライアントの設定もすべて変更する必要があります。
一方のワンタイムパスワードは Webブラウザからのログインにのみ適用されるので、POP/IMAP/SMTP等のメールサービスには影響しません。またよく使う端末(ブラウザ) は一度登録しておけば次回からはワンタイムパスワードの入力を省略することができます。しかし PCとスマホからのログインにのみ対応していて、いわゆるガラケーからのログインには対応していません。
「使いにくくなるからイヤだ」「ガラケーからもログインしたいからワンタイムパスワードは使えない」という方は、ログインアラートの設定をしておきましょう。万が一、第三者による不正アクセスがあった場合にメールで通知されるので、すぐに気が付くことができます*4。ログイン履歴を時々自分で確認するのもいいですね。
(B) 迷惑メールへの対策
Yahoo! Japan IDはそのままメールアドレスとしても使用されています。そのため ID流出によってスパムメールやフィッシングメールを受け取る可能性があります*5。こうした迷惑メールを受け取ったら添付ファイルを安易に開いたり、メールに書かれたURLをクリックしたりしないように…と言いたいところですが、開いちゃうのが人間なんですよね。Yahoo! Japanには迷惑メールフィルターなど多数の迷惑メール対策ツールが用意されています。まずはこれらを活用して迷惑メールを受け取らないようにしましょう。
他のサイトでやること
Yahoo! Japanのメールアドレスを他のサイトのログインIDとして使っている方はおそらくかなりいると思います。もしあなたがそのサイトで他人から簡単に推測できるようなパスワードを使っているのであれば、今すぐパスワードを変更しましょう!今回の件で Yahoo! Japanから大量の ID情報が流出したとすれば、攻撃者はその IDを使って他のサイトで不正アクセスを試みる可能性があります。もし簡単なパスワード ("123456" や "password"など)を設定していた場合、そのようなアカウントは攻撃者に簡単に突破されてしまいます。簡単なパスワードを設定していないか、パスワードの使い回しをしていないか、この機会に自分のパスワード設定の見直しをしましょう。
ざっとこんな感じでしょうか。Yahoo! Japanさんには、もう少しユーザに親切な状況説明をお願いしたいところですね。
(5/23 追記)
Yahoo! Japanから追加発表がありました。
「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表
5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。
「不可逆暗号」とあるのでハッシュのことだと思いますが、ハッシュ関数の種類やソルト、ストレッチングの有無についてはわかりません。条件によってはパスワードが解読される可能性もあると思います。(徳丸さんの記事が参考になります。) また「パスワードを忘れてしまった場合の再設定に必要な情報の一部」が何を指すのか書いてないのですが、ITmediaの記事などによると、「秘密の質問」とその答えも流出したようです。Yahoo! Japanでは該当するユーザのパスワードと秘密の質問をリセットするとあります。しかし「秘密の質問」は他サイトでも同じような内容になっているため、流出した情報が他サイトで悪用される可能性があります。
繰り返しになりますが、Yahoo! Japanのメールアドレス(または ID)とパスワード(と秘密の質問の答え)を他のサイトでも使い回している場合、今回流出した情報をもとにしてそれらのサイトで不正ログインが行われる可能性があります。あるサイトから流出したと思われるIDとパスワードを使って、他のサイトへの不正ログインを行う攻撃はこれまでも度々起きています。十分な注意が必要です。
(参考)
以下の記事は、他サイトへの不正ログインの可能性なども含めて、とてもよくまとまっており参考になります。(三上さんの記事ですが、専門家として北河さんが取材に協力されたようです。)
Yahoo!のパスワード流出、実は「他サイトが危険」? : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
*1:Yahoo! Japanも今回の件を受けて不正アクセスの監視は強化しているはずですが、完全に防ぐことができるわけではありません。自分の身は自分で守りましょう。
*2:シークレットIDの設定を行うと、Yahoo! Japan IDではログインできなくなります。
*3:私は他のサービスでもワンタイムパスワードを使っているので、Yahoo! Japan専用アプリではなく HDE OTPを使っています。
*4:もちろんシークレットIDとワンタイムパスワードで万全、という方も念のため設定しておきましょう。
*5:長く使っている人であれば、以前から多数の迷惑メールを受け取っているでしょうから、まあそんなに慌てることはないでしょう。;)