バラクーダネットワークスのエキスパートからの提言:Yahooのようなデータ流出から会社を守るには

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > バラクーダネットワークスのエキスパートからの提言:Yahooのようなデータ流出から会社を守るには

バラクーダネットワークスのエキスパートからの提言:Yahooのようなデータ流出から会社を守るには
Christine Barry

2016年12月29日

Yahooが昨日行った発表によると、「一部のYahooユーザアカウント」でこれまで未検出だったデータ流出が確認されました。   Yahooの社員と社外フォレンジックエキスパートが法的措置に基づいて調査したのですが、その後で発覚しました。このデータ流出は10億を超えるユーザアカウントに影響を与えており、史上最大の規模になります。Yahooの見解は以下のとおりです。

影響を受けた可能性のあるアカウントについては、氏名、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード(MD5を使用)などのユーザアカウント情報、さらにはセキュリティに関する質問と答え(暗号化されたものまたは暗号化されていないもの)が窃取された可能性があります。また、テキストでのパスワード、支払カード情報、銀行口座といった情報には影響がないことが判明しています。支払カード情報と銀行口座情報は、標的となったシステムには保存されていませんでした。

YahooのCISOであるボブ・ロード(Bob Lord)氏は正式発表を行い、2013年8月に発生したデータ流出の実行犯と2014年のデータ流出の実行犯はおそらく同じであり、国家機関が関与しているとしています。このデータ流出は3ヵ月前にやっと公表され、少なくとも5億ユーザアカウントに被害が及んでいます。

セキュリティエンジニアリング担当VPであるスワヴェク・リジェ(Slawek Ligier)は昨日、先頃の情報開示についてBay Area NBC Newsと対談しています。

Yahooのデータ流出に関するBay Areaとの対談

今回のデータ流出について重要なポイントをいくつかまとめます。

特にYahooのデータ流出については、オンラインアカウントをすべてレビューし、同じ資格情報(セキュリティの質問など)を使用していないか確認してください。窃取された可能性のある情報は使用しないようにしてください。攻撃者は同じユーザ情報がないか他のWebサイトで検索しますので、パスワードを変更しておいてください。

可能な限り2要素認証(2FA)を使用してください。これにより、アカウントのセキュリティを強化できます。一般的に、2FAではアカウントアクセス用の情報が別途必要になります。メールアカウントや携帯電話にSMSで送信されるコードや、専用デバイスに入力する情報を追加で使用することにより、ユーザ名とパスワードのみではアカウントにアクセスできなくなります。

Yahooも次の手順を推奨しています。

  • Yahooアカウント以外で同じまたは類似した情報を使用しているアカウントがある場合は、パスワードとセキュリティに関する質問/答えを変更してください。

  • 窃取が疑われるアカウントをすべて確認してください。

  • 個人情報の提供を依頼するメールやWebページには注意が必要です。

  • 不審なメールのリンクをクリックしたり、添付ファイルをダウンロードしないでください。

  • Yahooアカウントキーの使用を検討してください。これにより、Yahooでパスワードを使用する必要がなくなります。

バラクーダネットワークスのネットワークセキュリティ担当VP兼GMであるクラウス・ゲリ(Klaus Gheri)、SMBでもエンタープライズレベルのセキュリティが必要な理由

スワヴェクは、「小規模ビジネスは特に注意が必要だ」と注意喚起しています。このような攻撃は今後も続き、増大していくでしょう。攻撃者は安易に金銭を手に入れることができるだけでなく、海外で行ってもリスクが低いからです。小規模ビジネスの環境は、パブリッククラウドの導入、カメラや小型インフラデバイスをはじめとするIoTデバイスの採用、モバイルアプリの提供を通じて、さらにつながりが強化されています。

タッシャー・リチャバダスは、アプリケーションセキュリティに関する記事を定期的に投稿していますが、新たなNISTパスワードガイドラインをチェックすることを推奨しています。

Sec 5.1.1.2

記憶シークレットの設定、変更の要求を処理する際、検証主体はシークレットの値を、一般的に利用されている値、予想できる値、セキュリティ侵害を受けた値と比較するものとする。たとえば、以下のリスト(に限定するものではない)が含んでいるものでよい。

過去にセキュリティ侵害にあったパスワード集

辞書に含まれる言葉

サービス名や、ユーザ名、そこから派生するようなものなど、文脈によって特定可能な単語

検証主体は他の構成ルール(たとえば、異なる文字種の組み合わせ)を記憶シークレットに課すべきではない。検証主体は、認証器が侵害されている、または加入者が変更要求を行った証拠がない限りは、記憶シークレットを任意で(たとえば定期的に)変更するよう要求すべきではない。

このような攻撃は今後も続くでしょう。仮に攻撃に気付いたとしても、感染からかなり時間が経過している可能性もあります。オンラインアカウントは業務上便利なので使用を控える必要はありませんが、セキュリティ保護のベストプラクティスを適用するように心掛けてください。

バラクーダネットワークスとセキュリティソリューションについては、こちらの製品サイト総合教委保護(Total Threat Protection)サイトをご覧ください。


※本内容はBarracuda Product Blog 2016年11月29日 Barracuda experts: How to protect yourself from Yahoo-like data breaches を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら