[要注意]絶対に確認しておいた方がいい。Yahooユーザーの１０％は不正ログインされる可能性がある。

先日、5月17日。Yahoo! JAPANが抱える約２億のアカウントの１０％強にあたる、2200万件IDが流出した障害を受けて、流出の可能性のあるＩＤのパスワードと、パスワードを再設定するための「秘密の質問」が強制的にリセットされました。

プレスリリース「当社サーバへの不正なアクセスについて」

パスワードも流出。不正ログインはないとされるが・・・

今回ＩＤが流出した2200万件のうち、148.6万件についてはパスワードと、パスワードを再設定するための「秘密の質問」も同時に流出した疑いがもたれています。

通常、まともなＷＥＢサービスのパスワードは、不可逆性な暗号化アルゴリズムを用いて管理されます。ヤフーの場合もちゃんと管理されていたようです。

このようなパスワード管理の下では、サーバー上にあなたが登録したパスワードをそのまま保存することはありません。また、仮にパスワードが流出したとして、あなたがどんな恥ずかしいパスワードを使っていたとしても、そのパスワードが解析されてバレてしまうということもありません。
（今の技術力では、一応）

しかし、今回の流出については「秘密の質問」も同時に流出しています。この「秘密の質問」はパスワードの再設定に利用されるのですが、こちらについては暗号化されていません。

つまり、この流出した情報を手に入れることができる人は、パスワードは解析できなくても、そのユーザーになりすましてパスワードリセット機能を使えば、動機は不純でも、正規なルートで新しいパスワードを手に入れることができるため、ＩＤの乗っ取りが可能になります。

その点の指摘については、良書「体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践」の著者である徳丸浩氏のブログエントリーでなされいます。

アカウント、パスワード管理リスク

様々なＷＥＢサービスが登場することで僕らの生活は便利になりましたが、一方で、登録しなければならないアカウントやパスワードの数が増え、その管理はどんどん不便になっていきます。

その結果、多くの人が同じアカウント名と同じパスワードのペアを、多くのＷＥＢサービスで設定しているのではないでしょうか？

今回の流出のように、まともなＷＥＢサービスではパスワードは暗号化されているため、仮に流出したとしても、その情報だけで流出サイトの不正ログインに繋がることはほとんどないでしょう。

しかし、多くの人がアカウントやパスワードを流用しているという事実があるため、流出したサイトとは別のサイトで、そのアカウントの不正ログインが試みられることになるでしょう。

秘密の質問も使い回している人も多いでしょうから、その別のサイトで「秘密の質問」を元にしたパスワードリセット機能を提供していた場合、パスワードの暗号化も無力に、アカウントの乗っ取りが成功してしまいます。

アカウントやパスワード流出したサービスは、流出後、何かしらの対応をするでしょうから、結果的には、流出したサービスとは別のサービスのアカウントの不正ログインの方が問題になるのです。

今回の流出は母数の多いyahooのアカウントの流出です。この流出情報により、yahooとは別のＷＥＢサイトのアカウントが乗っ取られることは十分に考えられます。

そのようなパスワード管理問題のジレンマを解決する手段として、openIDによるログインやfacebookやtwitterなどの単一サービスのアカウントを利用したログインが目立つようになりました。

しかし、つい先日もあったように、twitter自身のログイン機能がダウンしていたために、twitterログイン利用しているサービス全てが使えなくなったり、厳しくなるtwitterの凍結のように、いつ大元のサービスが停止してしまうのか分からないのです。

アカウントが停止したり大元サービスがダウンしたら、便利の代償が一気に襲い掛かってくるのです。

あなたのＩＤをチェックしましょう。

あなたのIDが流出しているかどうかの状況については、以下のリンクから確認することができます。

かなり大量のＩＤがリセット対象になっていると思われますので、Yahooにログインできなかったとしても焦らないで、自分が対象者になってないか、確認しましょう。

Yahoo! JAPAN IDの状況確認
※ログインが必要です。

Yahooが提示する安全ガイドは、こちら。