reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 2013年5月17日に、2200万もの大量のIDが漏洩していたことを発表したYahooですが、やはりそれだけではなかったようです。そのうち、148.6万件については不可逆暗号化されたパスワードも漏れていたと先ほど発表がありました。


「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表 - Yahoo! JAPAN広報からのお知らせ - Yahoo!ブログ
5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。


 不可逆暗号化というのは、暗号化後のデータから暗号化前の状態に戻すことが限りなく不可能に近い仕組みのことです。そのため、そのまま悪用される危険性は低いと言えます。
(※ちょっとあいまいな書き方をしたので追記します。生のパスワードではないのでそのまま悪用はされませんが、不可逆暗号化の仕方によっては解読される可能性があります。ソルト等適切な処理がなされていなければ、短時間で解読され、悪用される可能性があります。この辺りは詳細が公開されているわけではないので現時点では触れません。)

 あわせて流出した「パスワードを忘れてしまった場合の再設定に必要な情報の一部」についても、「秘密の質問を利用してパスワードを再設定するための機能を一時的に停止」したということなので、これらの情報でログインされることはなさそうです。

 対象IDの利用者に対しては、明日5月24日の早朝、強制的にパスワードと秘密の質問をリセットするということなので、その後のログイン時に再設定する必要があります。可能ならその前に変えておきましょう。

 IDが漏洩したという発表時にも、不正アクセスの状況からパスワードが盗まれている危険性が指摘されていましたが、やはりという感じです。漏洩対象ではなかった方も念のため、パスワードを変えたほうがいいかもしれません。

【追記22:15】
 なお、このニュースに対し、「マイナビ」さんが「可逆暗号化」としていますが、Yahoo本家が「不可逆暗号化」としているので誤植だと思われます。Twitterでは誤解している方もいらっしゃったので念のため。いずれにせよ、一次情報をあたるようにしましょう。





Yahoo! JAPANの不正アクセス拡大か - 一部IDのパスワードを強制リセット | パソコン | マイナビニュース
148.6万件について、「可逆暗号化されたパスワード」および「パスワードを忘れてしまった場合の再設定に必要な情報の一部」が流出した可能性が高いことを確認したという



【追記22:35】
 どうやら、「マイナビ」さんもこっそり修正したようです。でも、こっそり修正せずに誤植なら誤植と書くべきかと。
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。