3,200 万、これは米国の国家証券市場委員会 (SEC) が提出した証券報告書によって今回検討された数字です。調査の結果、ハッカーがユーザー名やパスワードを入力しなくてもアカウントにアクセスできるようにするCookie 鍛造と呼ばれる攻撃により、ユーザー アカウントが侵害されたことが明らかになりました。この新たなセキュリティ障害は、企業側の緊迫した状況を悪化させるだけです。ヤフー!過去 3 年間ですでに 2 回の大規模な障害が発生し、15 億人のアカウントが侵害されました。国家証券市場委員会は、過去のセキュリティ障害を理解または評価せず、ユーザーに対する義務を怠ったとして複数の経営陣を非難した。

クッキー偽造攻撃

クッキー偽造攻撃

「2016 年 11 月と 12 月に、第三者の法医学専門家が、侵入者がパスワードなしでユーザー アカウントにアクセスできるようにする偽造 Cookie の作成を調査していると発表しました。調査に基づいて、私たちは、不正な「第三者」がアクセスしたと考えています。フォレンジックの専門家は、このような Cookie の設計方法を学習するための同社独自のコードを使用して、偽の Cookie が使用されたと考えられる約 3,200 万のユーザー アカウントを特定しました。この活動の一部は、2014 年のセキュリティインシデントの責任者と同じ「攻撃者」に関連していると考えられます。偽の Cookie はすでに同社によって無効化されているため、使用されてユーザーのアカウントが再び侵害されることはありません。 」。

レポートで説明されているように、Yahoo! のハッキングでは、 Cookie 鍛造攻撃と呼ばれる高度な手法が使用されており、Cookie または保存された情報の小さな断片が Web サイトを「だます」ために使用されています。 Cookie はユーザーの利便性のために保存されます。たとえば、一定の時間が経過すると、再度本人確認をしなくてもサイトへのアクセスが許可されます。また、データを再入力することなくデータを回復するのにも役立ちます。この攻撃では、ハッカーがこれらのコンピューター部品を使用してユーザーのセキュリティを侵害し、Yahoo! Web サイトがアクセス不能になったとされています。彼は、実際に自分のアカウントを表示するために以前にログインしたユーザーを見ていると信じていました。この可能性については、さまざまな専門家が Cookie がセキュリティにもたらす潜在的な危険性を指摘し、しばらくの間議論されてきました。

私たちがブラウジングしているとき、私たちは通常、訪問したサイトからの Cookie を受け入れます。その主な機能は、ユーザーを追跡し、ユーザーの閲覧習慣に関する情報を収集し、手続きを迅速化するための情報を保存することです。 Cookie の一般的な目的は、通常、より快適なブラウジング環境を作成することです。したがって、Yahoo! アカウントに一度ログインすると、意識的にページから離れない限り、ページの閲覧中に再度行う必要はありません。私たちの識別情報 (または私たちが既に識別していることをページに伝えるコマンド) を保存する情報は Cookie です。 Cookie スプーフィング ハッキングは、盗んだ Cookie (比較的単純なもの) と Cookie インジェクションを使用して、実際にはハッカーがすでに特定されているとサーバーに伝え、ユーザーのパスワードを要求せず、プライベート アカウント全体にアクセスできるようにします。情報を削除したり、問題なく変更したりすることもできます。

そして3つあります

そして3つあります

このインシデントは、2013 年と 2014 年に15 億人以上のユーザーのアカウントが侵害された過去の攻撃により、SEC によって広く報告されました。最も重要なことは、これまでのハッキングでは Cookie も重要な役割を果たしていたということです。

「独立委員会は、コミュニケーション、管理、調査、内部報告におけるこうした失敗が、2014年の事件後の状況の理解と対応の欠如につながっていることを発見した。」

イーサン・ミラー

この言葉で委員会は、すでにセキュリティ上の障害を経験しているにもかかわらず、この問題に対して適切な措置を講じなかったとして取締役を非難している。そしてこれらすべては、2014年の攻撃を認識し、適切な措置を講じたと同社が宣言した後のことであるが、現在Yahoo!のCEOであるマリッサ・メイヤー氏は自身のTumblrのメッセージで、この問題の深刻さを認識しており、次のように宣言した。潜在的な問題を解決するための措置を講じようとしたにもかかわらず、失敗した場合は責任を負います。これは、CEOが今年の利益の一部を拒否し、それをYahoo!の従業員に分配することを意味する。一方、SECは、これが同社に厳しい結果をもたらす可能性があるため、投資家に情報を差し控える決定の正当性を証明する証拠の提出を求めている。

参考資料一覧

  1. https://thestack.com/security/2015/09/24/cookies-can-render-secure-websites-vulnerable-in-all-modern-browsers/
  2. https://www.sec.gov/Archives/edgar/data/1011006/000119312517065791/d293630d10k.htm
  3. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-zheng-updated.pdf
  4. https://thenextweb.com/insider/2017/01/23/Yahoo!-sec-investigation-data-breach/#.tnw_MoLsEYoH
  5. http://marissamayr.tumblr.com/post/157876672644/update-on-Yahoo!s-security-incident
  6. https://thenextweb.com/security/2016/12/14/Yahoo!-reports-billion-breached-accounts/#.tnw_jRj5dm67

Yahoo! 再びハッキング: 3,200 万のアカウントが危険にさらされる・関連動画