『#20260316 【歴史解説】史上最大級の漏洩!Yahoo30億件流出事件』のカバーアート

#20260316 【歴史解説】史上最大級の漏洩!Yahoo30億件流出事件

#20260316 【歴史解説】史上最大級の漏洩!Yahoo30億件流出事件

無料で聴く

ポッドキャストの詳細を見る

概要

 ■ 今日の歴史解説 今日は、ITの歴史に残る最大規模のセキュリティインシデント「Yahoo!大規模情報漏洩 (2013-2014)」を振り返ります。 ▼ 事件の概要 2013年から2014年にかけて、アメリカのYahoo!で当時の全ユーザーにあたる約30億アカウントの個人情報が流出しました。これは歴史上、最も規模の大きいデータ漏洩事件として記録されています。しかも、事件が発覚して世間に公表されるまでには数年の歳月がかかりました。2016年、ちょうど米通信大手Verizon社がYahoo!の中核事業を買収しようとしていたタイミングでこの漏洩が発覚し、買収額が約3.5億ドル(約380億円)も減額されるという、ビジネス上にも大打撃を与えた事件です。 ▼ 何が起きたのか? この事件は大きく2つの攻撃によって引き起こされました。 (1) 2013年の攻撃 システムの脆弱性を突かれ、名前、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、さらには「秘密の質問とその答え」などの情報が全ユーザー分盗み出されました。 (2) 2014年の攻撃 国家支援型のハッカー集団がYahoo!の社内ネットワークに侵入。カスタマーサポート担当者などが使う「アカウント管理ツール」にアクセスし、システム内部の仕組みを解析しました。その結果、パスワードなしで任意のユーザーになりすましてログインできる「Cookie(クッキー)偽造ツール」を作り出し、自由にアカウントに侵入できる状態を作り上げました。 さらに問題だったのは、一部のパスワードが「MD5」という古くて安全ではない暗号化方式で保存されていたことです。これにより、ハッカーは容易にパスワードを解読することができてしまいました。 ▼ 現代のエンジニアに向けた実践的な教訓 この事件は、今の私たちの開発現場にも多くの教訓を残しています。 (1) 古い暗号化アルゴリズムの撲滅 パスワードの保存にMD5やSHA-1を使ってはいけません。現代の計算能力では一瞬で解読されます。必ずbcryptやArgon2などの強力なアルゴリズムを使用し、ソルト(Salt)を付与して保存しましょう。 (2) 「秘密の質問」の危険性 「母親の旧姓」などの秘密の質問は、一度漏洩すると変更が効かないため、非常に危険な静的パスワードと同じです。現代では多要素認証(MFA)を導入し、秘密の質問という仕様自体を廃止するべきです。 (3) 社内ツールの厳格なアクセス保護 ユーザー向け画面のセキュリティは固くても、「社内管理画面」のセキュリティが手薄なケースは多々あります。社内ツールが乗っ取られるとシステム全体が崩壊します。内部ツールにこそ、ゼロトラストの考え方と厳密な多要素認証・権限管理を導入することが必須です。 ▼ 最後に セキュリティの欠陥は、企業のブランドや買収額といったビジネス価値を直接的に破壊します。日々私たちが構築・運用しているシステムが、企業の命運を握っていることを再認識させてくれる歴史的なインシデントです。 ハッシュタグ: #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
まだレビューはありません