たった一度の誤クリック。ロシア国家安全保障局と連携するハッカーがYahoo!ネットワークにアクセスし、最大5億人のメールメッセージや個人情報を盗み出すには、たったそれだけの手間しかかかりませんでした。
米連邦捜査局(FBI)は2年間にわたりこの侵入事件を捜査してきたが、ハッキングの全容が明らかになったのは2016年末になってからだった。水曜日、FBIは攻撃に関与したとして4人を起訴したが、そのうち2人はロシアのスパイだった。
FBI は次のように説明しています:
このハッキングは、2014年初頭にヤフーの社員宛てに送られたスピアフィッシングメールから始まりました。何人の社員が標的となり、何通のメールが送られたかは不明ですが、たった一人でリンクをクリックしただけで、ハッキングは起こりました。
ロシアの工作員に雇われたラトビア人ハッカー、アレクセイ・ベランは、ネットワークを偵察し始めると、2つの目的を探した。ヤフーのユーザーデータベースと、データベースを編集するためのアカウント管理ツールだ。そしてすぐにそれらを見つけた。
アクセスを失わないように、彼はアクセスを可能にするバックドアをYahoo!のサーバーにインストールし、12月にYahoo!のユーザーデータベースのバックアップコピーを盗んで自分のコンピューターに転送した。
データベースには、名前、電話番号、パスワード確認のための質問と回答、そして最も重要なパスワード回復用の電子メールと各アカウントに固有の暗号化値が含まれていました。
これら最後の 2 つの項目のおかげで、ベラン氏と仲間の商業ハッカーであるカリム・バラトフ氏は、ロシアのエージェントであるドミトリー・ドクチャエフ氏とイゴール・スシチン氏が要求した特定のユーザーのアカウントをターゲットにしてアクセスすることができました。
マーティン・ウィリアムズ ヤフーへのハッキング容疑で告発された4人に対する米国地方裁判所の起訴状が、FBIの指名手配ポスターと対照的である。
アカウント管理ツールではユーザー名の単純なテキスト検索ができなかったため、ハッカーは代わりに再設定用メールアドレスに頼りました。再設定用メールアドレスから標的を特定できた場合もあれば、メールのドメインからアカウント所有者が関心のある企業や組織に勤務していることが分かる場合もありました。
アカウントが特定されると、ハッカーたちは盗んだ「ナンス」と呼ばれる暗号値を用いて、Yahoo!サーバーにインストールされたスクリプトを通じてアクセスCookieを生成することができました。2015年から2016年にかけて何度も生成されたこれらのCookieにより、ハッカーたちはパスワードを必要とせずにユーザーのメールアカウントに自由にアクセスできるようになりました。
ベラン氏と彼の同僚は、プロセス全体を通して、常に冷静なアプローチをとった。彼らがアクセス可能な約5億アカウントのうち、実際に生成したCookieは約6,500アカウント分のみだった。
ハッキングされたユーザーには、ロシア副大統領補佐官、ロシア内務省職員、ロシアスポーツ省のトレーナーが含まれていた。その他、ロシアのジャーナリスト、ロシア国境沿いの国の政府関係者、米国政府職員、スイスのビットコインウォレット会社の従業員、米国の航空会社の従業員も含まれていた。
攻撃は非常に巧妙だったため、Yahooが2014年に初めてFBIに通報した際には、26のアカウントがハッカーの標的になったのではないかと懸念していました。しかし、2016年8月下旬になってようやく、侵害の全容が明らかになり、FBIの捜査が大幅に強化されました。
2016年12月、ヤフーは情報漏洩の詳細を公表し、数億人のユーザーにパスワードを変更するよう勧告した。
