パスワードなしでアカウント乗っ取り、ヤフーハッキング事件の手口が判明

580ac0f5c52402f8058b63d5

これまでのハッキング事件の中でも最大規模。

Adam Berry/Getty Images

2014年にヤフーのコンピュータが不正侵入され、大量の個人情報が盗まれた事件について、米司法省は15日(現地時間)に容疑者を起訴し、「 ロシアのスパイとハッカーが手を組み、数千を超えるヤフーアカウントに侵入した」と語った。この事件でハッキングされたヤフーアカウントは5億件超に達し、過去最大規模のハッキング事件となった。

発表の詳細についてはこちら(英文)から読むことができる。

米司法省が発表した「ハッキングのより詳細な手口」を紹介する。調査はFBIが行った。

今回の手口のポイントは、悪名高いハッカーAlexsey Alexseyevich Belanがヤフーのユーザーデータベースに侵入し、「少なくともその一部を盗んだ」ことだ。

GettyImages-157193443

データーベースとは、あらゆるヤフーユーザーの連絡先が記載された「電話帳」のようなもの。

jhorrocks/GettyImages

データーベースとは、ヤフーユーザーの連絡先が記載された「電話帳」のようなもの。そこにはユーザー名、暗号化されたパスワード、その他の個人情報が含まれている。通常は関係者以外はアクセスできない機密性の高いファイルだ。

司法省によると、データベースからは「ウェブブラウザでのアカウント認証に使用される『クッキー』をマニュアル操作で作成する情報」が引き出された。

ウェブサイトにアクセスすると、クッキーというファイルがパソコンに保存される仕組みになっている。クッキーにはユーザーに関する特定の情報が含まれている。

次にそのウェブサイトにアクセスした際には、サイトはユーザーが有効なクッキーを持っているか、クッキーの有効期限が切れていないかどうかを確認する。

GettyImages-592498391

Axel Bueckert / EyeEm/GettyImages

ウェブサイトの多くは30日間のログイン期間を設けており、それ以上経つとクッキーは期限切れとなる。クッキーが有効な間は、同じパソコンと同じブラウザを使用している限り、IDやパスワードを入力しなくても自動ログインされる。

ハッカーたちは盗んだディレクトリ情報から、クッキーを作成するための情報を入手した。

彼らは各アカウントに対応する偽のクッキーを作成。ヤフーメールサービスなどのウェブサイトに「クッキーが有効なユーザー」と誤認させ、パスワードを入力せずともアカウントにログインできる状態にした。

この手法を使って、ハッカーは6500ものアカウントをハックした。その中にはロシアのジャーナリストや政治家も含まれていた。また3000万ものアカウントを使用して、広告収入を得ていたという。

今回の事件は、情報漏洩がどれほど大きな被害をもたらすかの一例だ。ハッカーにパスワードを盗まれたわけでなくても、このような事件は起きる。

[原文:This is how Russian hackers broke into millions of Yahoo accounts without passwords, according to the FBI(YHOO, VZ)

(翻訳:まいるす・ゑびす)

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい