ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2014年01月17日

ヤフーID本部長 楠正憲氏が語る 「ID流出事故から得られた7つの教訓」

約1兆2千億円の年間売上規模を持つYahoo! Japan(以下、ヤフー)。登録ID数は2013年9月現在で実に約2億以上、さらに日々万単位で増えつづけている。そうしたなか、同社では2013年4月、外部からの最初の不正アクセスを検知、さらに1か月後には最大で2200万件のID流出の可能性があることが発覚した。果たしてヤフーはどのような対策を取り、今後の教訓として何を得たのか。「サイバー犯罪時代のWebセキュリティ最前線」セミナーにて、ヤフーID本部長の楠正憲氏が語った。

執筆:西山 毅

サイバー攻撃を契機に、セキュリティ強化対策に乗り出す

photo

ヤフー ID本部長
楠 正憲氏

 冒頭で楠氏は、現在のヤフーのアカウント概況について紹介した。同氏は「約2億以上あるヤフー登録IDのうち、Yahoo!ウォレットに登録しているID数、つまり同サイト内で物を買ったり、決済したりできるID数は2013年6月時点で約2460万人分あります」と語る。

 こうした状況の中で、ヤフーは今年4月に最初のサイバー攻撃に遭い、さらに約1か月後の5月には2回目の攻撃を受けた。

 「2012年秋頃から、GoogleやEvernoteなどがサイバー攻撃の対象となりはじめていましたが、今年4月には我が社のサーバが不正アクセスの標的となりました。翌5月には最大で2200万件のIDが流出した可能性があることが分かり、うち約149万件については、残念なことにユーザーのIDと、不可逆暗号化されたパスワード(=ハッシュ化されたパスワード)が漏れた可能性がありました」

関連記事
 これらの事故を受けて、同社はサイバー攻撃に対する対策に乗り出すことになる。

 「まず、最初にサーバの認証強化に取り組みました。今回のケースでは管理の弱い、あるいはパスワードの変更が十分に行われていない管理者のアカウントからサーバに侵入されたためです。ヤフーには数万台のサーバがあるため、全ての管理者アカウントを変更し、どのサーバに入るためにも二要素認証が必要な環境を作りました」

 また本当に必要な管理者だけが権限を持っているかどうかをチェックするために、運用アカウントの棚卸も行い、マルウェア対策もさらに強化した。

 「加えて、それまでは取得するだけできちんと見ることができていなかった各種ログの監視体制も強化しました。ただし、ヤフーは数万台のサーバで週約143億PV (2013年4月週平均)のトラフィックを捌いており、膨大なログが蓄積されています。その全てを見るのは不可能なので、いかにして変化の予兆に気が付くかがとても重要です」

ヤフーが受けたサイバー攻撃の特徴とは

 次に楠氏は「今も攻撃は続いており、対処している状況なので、具体的な話はあまりできないですが」と前置きした上で、今回受けたサイバー攻撃の特徴について言及した。

 「第一に挙げられるのは、管理のずさんなアカウントをターゲットとした外部からの標的型攻撃だったということ。そして我々が把握している範囲では、マルウェアへの感染が1つの契機になっていました」

 端的にいえば、マルウェアに感染してバックドアが開いた状態のPCがあり、そこから社内ネットワーク経由でサーバに侵入されたということだ。もちろんヤフーでは、ネットワークの”表玄関”には様々なセキュリティ対策を徹底的に施していた。しかし今回の攻撃では、PCの脆弱性によって開いてしまったネットワークの“裏口”から、段階的に管理の甘いサーバやアカウントを洗い出されて侵入されたということである。

 「ログを調べてみると、攻撃者は試行錯誤を繰り返し、失敗したら別の手口で確かめるということを何か月にも渡って行っていたことが分かりました。これは単なる愉快犯ではなく、明確に我々をターゲットに定め、周到に準備をして仕掛けてきたということです」

 ヤフーでは、攻撃者が侵入を試行錯誤している過程でシステムにいくつかのトラブルが起きていた。楠氏は「不正アクセスを見つければ簡単に止められそうな気がしますが、目の前で起こっている出来事が本当に侵入なのか、それとも運用やメンテナンスの範囲なのかの判断をマニュアル化することはかなり難しい。現場は、悩みながら追いかけていく、という状況です」と語る。

【次ページ】振り返って得られた7つの教訓とは?

標的型攻撃 ジャンルのセミナー

一覧へ

標的型攻撃 ジャンルのトピックス

一覧へ

標的型攻撃 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング