米Yahoo!、10億人以上の個人情報が2013年8月に流出していたことを発表

　米Yahoo!は14日、2013年8月に同社の社内ネットワークから10億人以上の個人情報が流出していたことを発表した。

　米Yahoo!では9月、2014年に少なくとも5億人の個人情報が流出したことを発表しているが、今回の件はこれとは異なり、合わせて15億人以上の個人情報が漏えいしたことになる。

　流出した個人情報には、氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によっては秘密の質問と回答が含まれている。クレジットカードや銀行口座の情報、パスワードそのものは、影響を受けたと考えられるシステムには保存されていなかったとのこと。

　また、不正アクセスにより第三者がCookieを偽造し、パスワードなしでユーザーのアカウントにアクセスしていたことも明らかにしている。Cookieの偽造時に使用されたユーザーアカウントは特定されているという。

　同社は影響を受けた可能性のあるユーザーに通知するとともに、漏えいした秘密の質問や、偽造されたCookieを無効化するなど、アカウントを保護するための措置を講じている。また、ユーザーにはパスワードの変更を呼び掛けている。

　同社CISO（最高情報情報セキュリティ責任者）のBob Lord氏は、今回判明した情報流出について、「法執行機関から、Yahoo!のユーザーデータとされるデータの提供を受け、分析を進めた結果、第三者が2013年8月に不正にシステムにアクセスし、データを詐取した」としている。また、「情報の盗難の経路を特定できていない」としている。

　米Yahoo!については、7月に米Verizonが主要事業を48億3000万ドルで買収することを発表しているが、9月に公表された5億人以上の情報漏えいを受け、10月には米Verizon幹部が買収にや買収額について見直すことを発言している。