米ヤフーからYahoo、Gmail、Hotmail、AOL等のパスワード45万件流出! 被害確認方法

米ヤフーからYahoo、Gmail、Hotmail、AOL等のパスワード45万件流出! 被害確認方法 1

米ヤフーがハッカー集団「D33Ds Company」に侵入され、アカウント453,492件のログイン情報がサイトに公開されました。

自分のメールが大丈夫かどうか知りたい人は、セキュリティ会社「Sucuri」の確認サイトでメアド入れて緑のボタン押してみてくださいね。因みにリークしたのはYahooメールだけじゃないですよ~。

「(Sucuriによると)Yahoo.comのメールは135599件だが、さらにGmaill.comが106185件、hotmail.comが54393件、aol.comが24677件、 msn.comが6282件リークしているという。」(ソース:TechCrunch

Ars Technicaによると、ハッカー集団はUNIONベースのSQLインジェクション技術を使ってYahooのサブドメインに侵入し、平文で引き出したそうです。データを表に晒した動機を「D33Ds Company」側はこう説明してますよ。

「サブドメインのセキュリティ管理責任者は、これを脅威ではなく警鐘と捉えて欲しい。Yahoo!のウェブサーバーにはセキュリティホールが沢山あり悪用されてきている。そちらの方が我々が発表したものより遥かにダメージは大きい。それをおろそかに考えないことだ。さらなる被害を回避するため、サブドメインと脆弱なパラメータは公開を控えておいた。」

漏洩したデータに「dbb1.ac.bf1.yahoo.com」とあるので、漏えい元はYahoo Voice(旧称Associated Content)のようだとTrustedSecが最初伝えてたのですが、具体的には「Yahoo! Contributor Network」関連の昔のYahoo!ファイルが出元のようですね。

ヤフーはこう声明を出しています。

「(前略)Yahoo!および他企業のユーザー約40万人のユーザーネームとパスワードが入ったYahoo! Contributor Network(旧称Associated Content)の古いファイルが昨日7月11日(米時間)盗まれました。このうち今の有効なパスワードを持つのはYahoo!アカウント全体の5%未満です。 データが表に出る原因となった脆弱性を修正し、被害に遭ったYahoo!ユーザーのパスワードを変更し、ユーザーアカウント情報が漏えいした疑いのある各社に通知する作業を進めているところです。影響を受けたユーザーのみなさまにはお詫び申し上げます。ユーザーのみなさまにはパスワードを定期的に変更されることをおすすめします。また、当社のオンラインのセキュリティを確保する上でのアドバイス(security.yahoo.com)もご確認ください。」

そんなわけであんまり心配はなさそうだけど、用心に越したことないですねー。

 

Image by Michael Macor, San Francisco Chronicle

Jamie Condliffe, Kyle Wagner(原文1原文2/satomi)