ヤフー、ハッシュ化されたパスワードと秘密の質問、148.6万件も流出した可能性

　ヤフー株式会社は、5月16日夜に発生した同社サーバーへの不正アクセスに関して、23日付で追加情報を発表した。不可逆暗号化（ハッシュ化）されたパスワードと、パスワードを忘れてしまった場合の再設定に必要な情報の一部も流出した可能性が高いという。

　今回の不正アクセスについてはすでに17日にヤフーが公表しており、最大2200万件のYahoo! JAPAN IDが流出した可能性があるとしていた。IDのみが抽出されたファイルが作成されていることが分かったというもので、その時点では、パスワードや、パスワードを忘れた際に必要な「秘密の質問」など、ID以外のデータは含まれていないとしていた。

　しかしその後の調査で、2200万件のIDのうち、148.6万件については、ハッシュ化されたパスワードと、秘密の質問およびその回答についても流出した可能性が高いことを確認した。通信ログなどの状況からそう判断したという。

　なお、ヤフーによれば、これらの情報だけではYahoo! JAPAN IDを使ってログインすることはできないとしている。

　ハッシュ化されたパスワードから元のパスワードの文字列を復元することは現実的には不可能だとしており、たとえIDとセットで流出したとしても不正ログインするのには使えない（パスワードのハッシュ化と、ログイン時の仕組みについては、Yahoo! JAPANのヘルプページを参照）。

　一方、パスワードを忘れてしまった場合の再設定には、秘密の質問およびその回答に加えて、生年月日が必要になるが、生年月日はネット上で公開している情報から特定される可能性も考えられる。IDと秘密の質問およびその回答がセットで流出した場合、生年月日も特定されてしまうと、勝手にパスワードを再設定される恐れがある。

　これを受けてヤフーでは23日19時、秘密の質問を利用してパスワードを再設定するための機能を一時的に停止した。

　また、148.6万件のIDの利用者に対して、24日早朝をめどに強制的にパスワードと秘密の質問をリセットし、ログイン時に表示される再設定画面の案内に従って再設定手続きをするよう求めている。

　ヤフーでは、利用者が自身のYahoo! JAPAN IDが148.6万件の対象IDに含まれるかどうかを確認できるページも公開している（現在、Yahoo! JAPANトップページや、「Yahoo! JAPANもっと安全ガイド」の上部に、確認ページへのリンクを表示中）。

【追記 2013/5/24 16:15】
　ヤフー株式会社への取材などに基づき、本文を加筆するとともに、記事タイトルを一部変更しました。