開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/01/17

ヤフーID本部長 楠正憲氏が語る 「ID流出事故から得られた7つの教訓」

約1兆2千億円の年間売上規模を持つYahoo! Japan(以下、ヤフー)。登録ID数は2013年9月現在で実に約2億以上、さらに日々万単位で増えつづけている。そうしたなか、同社では2013年4月、外部からの最初の不正アクセスを検知、さらに1か月後には最大で2200万件のID流出の可能性があることが発覚した。果たしてヤフーはどのような対策を取り、今後の教訓として何を得たのか。「サイバー犯罪時代のWebセキュリティ最前線」セミナーにて、ヤフーID本部長の楠正憲氏が語った。

執筆:レッドオウル 西山 毅、構成:編集部 松尾慎司

執筆:レッドオウル 西山 毅、構成:編集部 松尾慎司

レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama

サイバー攻撃を契機に、セキュリティ強化対策に乗り出す

photo
ヤフー ID本部長
楠 正憲氏
 冒頭で楠氏は、現在のヤフーのアカウント概況について紹介した。同氏は「約2億以上あるヤフー登録IDのうち、Yahoo!ウォレットに登録しているID数、つまり同サイト内で物を買ったり、決済したりできるID数は2013年6月時点で約2460万人分あります」と語る。

 こうした状況の中で、ヤフーは今年4月に最初のサイバー攻撃に遭い、さらに約1か月後の5月には2回目の攻撃を受けた。

 「2012年秋頃から、GoogleやEvernoteなどがサイバー攻撃の対象となりはじめていましたが、今年4月には我が社のサーバが不正アクセスの標的となりました。翌5月には最大で2200万件のIDが流出した可能性があることが分かり、うち約149万件については、残念なことにユーザーのIDと、不可逆暗号化されたパスワード(=ハッシュ化されたパスワード)が漏れた可能性がありました」

関連記事
 これらの事故を受けて、同社はサイバー攻撃に対する対策に乗り出すことになる。

 「まず、最初にサーバの認証強化に取り組みました。今回のケースでは管理の弱い、あるいはパスワードの変更が十分に行われていない管理者のアカウントからサーバに侵入されたためです。ヤフーには数万台のサーバがあるため、全ての管理者アカウントを変更し、どのサーバに入るためにも二要素認証が必要な環境を作りました」

 また本当に必要な管理者だけが権限を持っているかどうかをチェックするために、運用アカウントの棚卸も行い、マルウェア対策もさらに強化した。

 「加えて、それまでは取得するだけできちんと見ることができていなかった各種ログの監視体制も強化しました。ただし、ヤフーは数万台のサーバで週約143億PV (2013年4月週平均)のトラフィックを捌いており、膨大なログが蓄積されています。その全てを見るのは不可能なので、いかにして変化の予兆に気が付くかがとても重要です」

ヤフーが受けたサイバー攻撃の特徴とは

 次に楠氏は「今も攻撃は続いており、対処している状況なので、具体的な話はあまりできないですが」と前置きした上で、今回受けたサイバー攻撃の特徴について言及した。

 「第一に挙げられるのは、管理のずさんなアカウントをターゲットとした外部からの標的型攻撃だったということ。そして我々が把握している範囲では、マルウェアへの感染が1つの契機になっていました」

 端的にいえば、マルウェアに感染してバックドアが開いた状態のPCがあり、そこから社内ネットワーク経由でサーバに侵入されたということだ。もちろんヤフーでは、ネットワークの”表玄関”には様々なセキュリティ対策を徹底的に施していた。しかし今回の攻撃では、PCの脆弱性によって開いてしまったネットワークの“裏口”から、段階的に管理の甘いサーバやアカウントを洗い出されて侵入されたということである。

 「ログを調べてみると、攻撃者は試行錯誤を繰り返し、失敗したら別の手口で確かめるということを何か月にも渡って行っていたことが分かりました。これは単なる愉快犯ではなく、明確に我々をターゲットに定め、周到に準備をして仕掛けてきたということです」

 ヤフーでは、攻撃者が侵入を試行錯誤している過程でシステムにいくつかのトラブルが起きていた。楠氏は「不正アクセスを見つければ簡単に止められそうな気がしますが、目の前で起こっている出来事が本当に侵入なのか、それとも運用やメンテナンスの範囲なのかの判断をマニュアル化することはかなり難しい。現場は、悩みながら追いかけていく、という状況です」と語る。

【次ページ】振り返って得られた7つの教訓とは?

標的型攻撃 ジャンルのセミナー

標的型攻撃 ジャンルのトピックス

標的型攻撃 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!