ヤフーの代表者は、木曜日に公開されたデータは確かにヤフーおよび他の企業の約45万件の名前とパスワードであったことを確認した。
「Yahoo Contributor Network(旧Associated Content)の古いファイルには、Yahoo!およびその他の企業のユーザー名とパスワード約45万件が含まれており、昨日7月11日に漏洩したことを確認しました」と、Yahoo!の英国消費者広報責任者であるキャロライン・マクロード=スミス氏は電子メールで述べています。「これらのYahoo!アカウントのうち、有効なパスワードを持っていたのは5%未満でした。当社は、このデータの漏洩につながった脆弱性を修正し、影響を受けたYahoo!ユーザーのパスワードを変更するとともに、ユーザーアカウントが漏洩した可能性のある企業に通知するなど、直ちに対策を講じています。影響を受けたすべてのユーザーにお詫び申し上げます。パスワードを定期的に変更し、security.yahoo.comに掲載されているオンラインセーフティのヒントをよく読んでいただくようお願いいたします。」
このハッカー集団は「D33Ds Company」を名乗り、Yahoo!のサブドメインに存在するSQLインジェクションの脆弱性を悪用してデータベースに侵入したと主張している。彼らは、匿名のYahoo!サービスに関連するデータベースから盗まれたとされる45万3000件以上のログイン認証情報のリストをインターネット上に公開した。
ハッカーらは影響を受けたYahoo!のサブドメインの名前を明らかにしていないが、セキュリティ企業TrustedSecの最高経営責任者デイブ・ケネディ氏は、漏洩したデータで見つかったホスト名に基づいて、このサービスはYahoo!のAssociated Content from Yahoo!として以前は知られていたユーザー生成コンテンツのライブラリであるYahoo! Voicesであると推測した。
漏洩した情報には、MySQL サーバーの変数、データベース テーブルと列の名前、およびプレーンテキスト形式の 453,492 件の電子メール アドレスとパスワードのリストが含まれています。
公開されたログイン情報には、yahoo.com のメールアドレスだけでなく、他の公開および非公開のメールプロバイダーのメールアドレスも含まれています。(「サイトごとに異なる、安全で覚えやすいパスワードを作成する」も参照してください。)
ハッカーがヤフーのセキュリティを嘲笑
「このサブドメインのセキュリティ管理責任者の方々には、これを脅威ではなく、警鐘として受け止めていただきたい」とハッカーたちは述べた。「Yahoo! のウェブサーバーには、これまで多くのセキュリティホールが悪用され、私たちの公表よりもはるかに大きな被害をもたらしてきました。どうか軽視しないでください。」
ハッカーらはリリースノートで、「さらなる被害を避けるため、サブドメインと脆弱なパラメータは公開されていない」と述べている。
ウイルス対策ベンダーESETのスカンジナビアにおける販売代理店であるユーロセキュアの最高技術責任者アンダース・ニルソン氏がデータを分析したところ、漏洩した電子メールアドレスの最も一般的なドメイン名はyahoo.com、gmail.com、hotmail.com、aol.comであることが明らかになった。
最も多かったパスワードは「123456」で、1,666人のユーザーが使用していました。次いで「password」が780回使用されました。さらに、「password」は1,373件のパスワードのベースワードとして使用されていました。
ログイン認証情報が漏洩した場合、できるだけ早くパスワードを変更し、責任のあるサービスプロバイダーに圧力をかけ、セキュリティを向上させるとともに、より安全なサービスへの移行を検討する以外にできることはあまりないと、ウイルス対策ベンダーESETのシニア研究員デビッド・ハーレー氏は木曜日のブログ投稿で述べた。
