アメリカのインターネット検索大手ヤフーは22日、2014年に少なくとも5億人のユーザー情報が盗まれていたことを発表した。同社は、国家の支援を受けたハッカー攻撃による情報流出との見方を示しており、流出した情報には名前、メールアドレス、電話番号、生年月日、本人確認に使う質問と回答が含まれているという。クレジットカードや銀行口座の情報流出は確認されていない。
時事通信によると、サイバー攻撃による個人情報流出としては過去最大としている。
なお、日本におけるサービス「Yahoo!JAPAN(ヤフー!ジャパン)」はヤフージャパンが独自運営しており、同社は「利用者への影響はない」とコメントしているという。
不正アクセスやサイバー攻撃などによる情報漏えいや、その二次被害のニュースが後を絶たない。一見安心できるように思えるサイトでも漏えい事件は起きており、自ら危険から身を守る方法を知っておく必要がある。メールアドレスの流出をチェックできるサイトの使い方やパスワード管理の注意点などについて、ウイルス対策に詳しいエンジニアの齋藤実氏がAll Aboutで以下のように解説している。
**********
メールアドレス流出を確認できるサイト「Have I Been Pwned?」
齋藤氏によると、自分のメールアドレスが漏洩していないかチェックできるWebサイト「Have I Been Pwned?」が話題になっていると紹介している。このサイトは過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏えいの有無をチェックすることができるという。
「Have I Been Pwned?」は闇サイトで流通している情報を上げているので、漏えいがあったサービスの運営側が公表する数字よりも正確に近い流出情報といえると齋藤氏は述べている。
サイトの使い方は、サイトのトップページで、メールアドレス(またはID)を入力して「Pwned?」をクリックするだけという。実際に、齋藤氏はこのサイトで自身のメールアドレスをチェックしたところ、パスワードが流出していることがわかったという。齋藤氏は「漏えいがわかったら、すぐにパスワードを変更しましょう」と述べている。
斎藤氏は、注意点として、「Have I Been Pwned?」のサービスではすべてのパスワード流出事件を網羅しているわけではなく、同サービス運営側で入手できた情報に限られているため、「もしセーフの判定でも油断だけは禁物」としている。
パスワードの使い回しはNG
斎藤氏によると、知らないところで流出したパスワードがリスト化され、不正アクセスに悪用され、金銭被害も起きているという。
斎藤氏は、ユーザーができる対策として、まず、パスワードを使い回すのは危険と述べている。Webサービスごとに別々のパスワードを設ける必要があると同時に、推測可能な弱いパスワードを使わない(意味を持たないランダムな大小英数字及び記号のパスワードを使う)ことも大切と齋藤氏は説明する。
またパスワードを使うデバイスにはウイルス対策ソフトを使い、パスワード詐取を目的とした偽サイト(フィッシング詐欺)にも注意してほしいと齋藤氏は述べている。
一方で、数多くの複雑なパスワードを覚えることは現実的ではないとも齋藤氏は指摘しており、パスワード管理ソフトやエクセルなどを活用することを勧めている。自分に合った、作業ミスのない方法を選択するのがポイントだ。
パスワードの他に、セキュリティサービスが提供されている場合もある。たとえば、いつもと違うデバイスからログインがあると登録したアドレスにメールが届くといったサービスがあり、万が一の不正アクセスに備えて、このようなサービスをしっかりと活用してほしいと齋藤氏は述べている。
【関連リンク】