先週17日、Yahoo Japanは、不正アクセスにより「最大2,200万件のIDが流出」した可能性があることを公表しました。
実際には、「ログインIDのみ」の流出で、パスワードなどそれ以外の情報は問題無いとしていますが、先日のwordpressのadmin問題同様、IDさえわかっていれば、かんたんなパスワードなら悪意ある第三者にログインされてしまう恐れがあります。
特に、マーケティング担当者など、広告を運用している場合は、クレジットカード情報も心配となります。そこで、Yahoo Japanは、自分のIDが漏洩対象かどうかを確認するツールを公開したようです。
http://id.yahoo.co.jp/security/
にアクセスして、画面最上部の「状況確認はこちら」をクリックし、
http://docs.id.yahoo.co.jp/confirmation.html
にアクセスします。
もし自分が対象でなければ画面のように
結果:対象ではありません。
と表示されます。
もし対象となっている場合は、すぐにパスワードを複雑なものに変更して、クレジットカード情報などが悪用されていないか、Yahooやカード会社に問い合わせるなどが必要になると考えられます。
対象者であれば、Yahoo Japanからメールが届いている可能性もありますので念のためチェックが必要かと思われます。
また、こうした騒ぎに乗じて、Yahoo Japanを偽装したメールでパスワードを聞き出してくる可能性もありますので、慎重かつ冷静な対応を心がけたいところです。
2013/05/26追記
yahoo側では5/23 新たに、「秘密の質問と、暗号化されたパスワード(ハッシュデータ)も一部漏洩している」と発表がありました。
そこで新たに、以下のようなページを設けて、適切な対応をユーザに促すと共に、
より厳重なパスワード管理方法を推奨されていますので、クレジットカード情報や顧客情報を扱われる方は、すぐに導入すべき必須対策だと思います。
今回、推奨が強調された3つのツール
しかし、今回の5/23の発表はいささか誠実さに欠ける気がします。
技術的には、パスワードハッシュや秘密の質問の漏洩も5/17の段階で分かっていたはずですし、なぜすぐに公表できなかったのか、疑問です。仮に、もし後から分かったとしたなら、今後は極めて致命的な漏洩に気づくまでそこまで時間がかからないよう改善を希望します。