これまでのハッキング事件の中でも最大規模。
Adam Berry/Getty Images
2014年にヤフーのコンピュータが不正侵入され、大量の個人情報が盗まれた事件について、米司法省は15日(現地時間)に容疑者を起訴し、「 ロシアのスパイとハッカーが手を組み、数千を超えるヤフーアカウントに侵入した」と語った。この事件でハッキングされたヤフーアカウントは5億件超に達し、過去最大規模のハッキング事件となった。
発表の詳細についてはこちら(英文)から読むことができる。
米司法省が発表した「ハッキングのより詳細な手口」を紹介する。調査はFBIが行った。
今回の手口のポイントは、悪名高いハッカーAlexsey Alexseyevich Belanがヤフーのユーザーデータベースに侵入し、「少なくともその一部を盗んだ」ことだ。
データーベースとは、あらゆるヤフーユーザーの連絡先が記載された「電話帳」のようなもの。
jhorrocks/GettyImages
データーベースとは、ヤフーユーザーの連絡先が記載された「電話帳」のようなもの。そこにはユーザー名、暗号化されたパスワード、その他の個人情報が含まれている。通常は関係者以外はアクセスできない機密性の高いファイルだ。
司法省によると、データベースからは「ウェブブラウザでのアカウント認証に使用される『クッキー』をマニュアル操作で作成する情報」が引き出された。
ウェブサイトにアクセスすると、クッキーというファイルがパソコンに保存される仕組みになっている。クッキーにはユーザーに関する特定の情報が含まれている。
次にそのウェブサイトにアクセスした際には、サイトはユーザーが有効なクッキーを持っているか、クッキーの有効期限が切れていないかどうかを確認する。
Axel Bueckert / EyeEm/GettyImages
ウェブサイトの多くは30日間のログイン期間を設けており、それ以上経つとクッキーは期限切れとなる。クッキーが有効な間は、同じパソコンと同じブラウザを使用している限り、IDやパスワードを入力しなくても自動ログインされる。
ハッカーたちは盗んだディレクトリ情報から、クッキーを作成するための情報を入手した。
彼らは各アカウントに対応する偽のクッキーを作成。ヤフーメールサービスなどのウェブサイトに「クッキーが有効なユーザー」と誤認させ、パスワードを入力せずともアカウントにログインできる状態にした。
この手法を使って、ハッカーは6500ものアカウントをハックした。その中にはロシアのジャーナリストや政治家も含まれていた。また3000万ものアカウントを使用して、広告収入を得ていたという。
今回の事件は、情報漏洩がどれほど大きな被害をもたらすかの一例だ。ハッカーにパスワードを盗まれたわけでなくても、このような事件は起きる。
(翻訳:まいるす・ゑびす)