パスワードなしでアカウント乗っ取り、ヤフーハッキング事件の手口が判明

2014年にヤフーのコンピュータが不正侵入され、大量の個人情報が盗まれた事件について、米司法省は15日（現地時間）に容疑者を起訴し、｢ ロシアのスパイとハッカーが手を組み、数千を超えるヤフーアカウントに侵入した｣と語った。この事件でハッキングされたヤフーアカウントは5億件超に達し、過去最大規模のハッキング事件となった。

発表の詳細についてはこちら（英文）から読むことができる。

米司法省が発表した｢ハッキングのより詳細な手口｣を紹介する。調査はFBIが行った。

今回の手口のポイントは、悪名高いハッカーAlexsey Alexseyevich Belanがヤフーのユーザーデータベースに侵入し、｢少なくともその一部を盗んだ｣ことだ。

データーベースとは、ヤフーユーザーの連絡先が記載された｢電話帳｣のようなもの。そこにはユーザー名、暗号化されたパスワード、その他の個人情報が含まれている。通常は関係者以外はアクセスできない機密性の高いファイルだ。

司法省によると、データベースからは｢ウェブブラウザでのアカウント認証に使用される『クッキー』をマニュアル操作で作成する情報｣が引き出された。

ウェブサイトにアクセスすると、クッキーというファイルがパソコンに保存される仕組みになっている。クッキーにはユーザーに関する特定の情報が含まれている。

次にそのウェブサイトにアクセスした際には、サイトはユーザーが有効なクッキーを持っているか、クッキーの有効期限が切れていないかどうかを確認する。

ウェブサイトの多くは30日間のログイン期間を設けており、それ以上経つとクッキーは期限切れとなる。クッキーが有効な間は、同じパソコンと同じブラウザを使用している限り、IDやパスワードを入力しなくても自動ログインされる。

ハッカーたちは盗んだディレクトリ情報から、クッキーを作成するための情報を入手した。

彼らは各アカウントに対応する偽のクッキーを作成。ヤフーメールサービスなどのウェブサイトに｢クッキーが有効なユーザー｣と誤認させ、パスワードを入力せずともアカウントにログインできる状態にした。

この手法を使って、ハッカーは6500ものアカウントをハックした。その中にはロシアのジャーナリストや政治家も含まれていた。また3000万ものアカウントを使用して、広告収入を得ていたという。

今回の事件は、情報漏洩がどれほど大きな被害をもたらすかの一例だ。ハッカーにパスワードを盗まれたわけでなくても、このような事件は起きる。

［原文：This is how Russian hackers broke into millions of Yahoo accounts without passwords, according to the FBI（YHOO, VZ）］

（翻訳：まいるす・ゑびす）