データ窃取は成功する場合と、失敗する場合があります。みなさんご存知のテクノロジーの巨大企業であるYahoo Inc.によると、膨大な量の情報漏えいが確認され、最大5億人のYahooユーザーに影響が出るとのことです。発表によると、2014年の終わりにユーザー名、保護されたパスワード、誕生日、関連Eメールアドレスなどが盗まれました。つまり、この事件の背後にいるサイバー犯罪者には、データを処理するだけの一定の時間があったことになります。
まさにデータ窃取に大成功したということです。
この大規模な情報漏えいの噂は、8月からダークウェブ上で流れていました。Motherboard(英文)によると、当時「ピース(Peace)」と名乗るハッカーが2億件のYahooのユーザー名、パスワード、誕生日などを1,860ドルで販売すると持ちかけていました。購入した誰かが盗まれたデータに実際にアクセスしたかどうかは不明です。
この件に関するYahooの発表によると(英文)、わかっていることは、盗まれたすべてのデータは何らかの方法で保護されていたということです(暗号化であるといいですが)。また、決済カード情報も含まれていました。
このような情報漏えいは、特に頻繁にYahooアカウントにアクセスしないユーザーにとって、非常に深刻な問題です。なぜなら、昔のウェブサイトやサービスでは、認証情報(パスワードなど)が簡単であったり、忘れられていたり、再利用されている場合があるため、サイバー犯罪者により別のウェブサイト上に存在するもっと重要度の高いデータやアカウントの権限にアクセスされる危険があるなど、しばしば影響が拡大する場合があるからです。使用していないサービスのセキュリティ機能を気にしない期間が長いほど、サービスに紐づいたアカウントがセキュリティ侵害や攻撃に利用される可能性が高まります。Yahooアカウントを持っている場合、今すぐウェブサイトにアクセスしてお使いの認証情報を更新してください。
では、このような攻撃に対して何をすべきでしょうか?以下は、セキュリティに関する守るべきいくつかのヒントです。
- 複雑なパスワードを作成する
すべてのアカウントは、パスワードは最低8文字以上で、大文字と小文字を使用して、数字と記号の両方を含んだものにして保護する必要があります。このようなタイプのパスワードは覚えることが難しいため、私はパスワードマネージャーの利用をお勧めします。
- パスワードマネージャーを使用する
インテル セキュリティが提供するTrue Keyなどのパスワードソリューションは、多くのサービスと関連づけて、パスワードを生成、保管、および保護するプログラムです。過去数年間、今日のオンライン環境において十分なセキュリティの確保につとめるユーザーにとって、このような厳重な保護用のプログラムが必須になっています。つまり、パスワードマネージャーが利用できる場合は利用しましょう。
- 多要素認証を利用する
同様のことが多要素認証についても言えます。多要素認証とは、ユーザーが自分自身であることを証明するために、(a)本人しか知らない情報、および(b)本人しか持っていない情報の両方を要求するセキュリティ標準です。現在、多要素認証は一般的にPIN番号とスマートフォンへのテキストメッセージの組み合わせ、場合により指紋スキャンとの組み合わせで行われています。現在、多くのサービスではアカウントに対する多要素認証をサポートしています。機会があれば確認してみてください。
- 総合セキュリティソフトを活用する
最後に、お使いのすべてのデバイスに総合セキュリティソフトをインストールすることをお勧めします。McAfee LiveSafeなどの総合セキュリティソフトは、さまざまな悪意のあるプログラムからお使いのデバイスを保護するだけでなく、セキュリティ状態を監視する機能も持っています。
そして、もちろん、私とマカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。
※本ページの内容は 2016年9月22日更新のMcAfee Blog の抄訳です。
原文: Cybercriminals Breach Yahoo, Impacting 500 Million Users
著者: Gary Davis(Chief Consumer Security Evangelist)
【製品情報】
True Key
McAfee LiveSafe