ヤフーは、各種「Yahoo! JAPAN」サービス用アカウント「Yahoo! JAPAN ID」のユーザー名最大2,200万件が流出した問題について、対象 ID のうち148万6,000件は暗号化済みパスワードとパスワード再設定用の「秘密の質問」も流出したとみられると発表した。この状況を受け、ヤフーは秘密の質問によるパスワード再設定機能を停止し、対象 ID のパスワードと秘密の質問をリセットする。

この問題は、Yahoo! JAPAN 用サーバーに5月16日21時ごろ不正アクセスがあり、Yahoo! JAPAN ID のユーザー名の入ったファイルがサーバー上で作成されて外部に流出したもの。ヤフーが5月17日に問題を公表した際には、ファイルに含まれていた情報は一般公開されている Yahoo! JAPAN ID だけで、パスワードなどは入っていないとしていた。しかし、その後の調査で不可逆暗号化されたパスワードと、パスワード再設定に必要な秘密の質問の一部が流出した可能性が高いことを確認したという。

今回パスワードなどが流出したと思われる Yahoo! JAPAN ID については、5月24日早朝にパスワードと秘密の質問を強制的にリセットする。該当 ID ではログインできなくなってしまうため、ユーザーはログイン時に表示される案内にしたがって自ら再設定を行う必要がある。ヤフーは、ユーザーの ID が流出したかどうかを調べるツールを公開して確認を呼びかけるとともに、各種セキュリティ強化ツールを案内している。

ヤフー、流出した「Yahoo! JAPAN ID」2,200万件のうち148万件はパスワードと「秘密の質問」も
確認ツールの使用例

ヤフーによると、流出した情報だけでは Yahoo! JAPAN にログインできないという。しかし、Yahoo! JAPAN ID に対する不正ログイン攻撃が成功しやすくなるうえ、同じ ID などをヤフー以外のサービスで使い回しているユーザーは、そのサービスに対する不正ログイン攻撃でセキュリティが破られる可能性が高まることから注意が必要だ。

無料で利用可能な各種セキュリティ強化ツール
無料で利用可能な各種セキュリティ強化ツール