2016 年 11 月 11 日 編集部記事

発生時に事実を認識していたと社員が認めたことで、今週、Yahoo の大量データ流出が再び注目を集めました。ご記憶の方も多いと思いますが、Yahoo は 2016 年 9 月に、5 億件のユーザアカウントにアクセスする攻撃が2014 年に発生していたと発表しました。そして、その攻撃で、Yahoo ユーザのメールアドレス、電話番号、生年月日、セキュリティの質問と答え、パスワードが流出していたことがわかりました。

SC Magazine が先日発表した、Yahoo のアメリカ証券取引等監視委員会への提出書類の調査に関する記事で、ウォッチガードの CTO、Corey Nachreiner は、Yahoo が事実を認めたことに対する意見を次のように述べています。

「Yahoo がこの流出を早い段階で認識し、ユーザアカウントのセキュリティに影響することがわかっていたにもかかわらず、その事実をユーザに知らせていなかったのは、とても残念なことです。脆弱性がまったく存在しない企業があるとは誰も思いませんが、我々が企業に期待するのは、データやアカウントに影響する事件が発生した場合、特に、その影響の拡大の防止に役立つ事実を速やかに知らせてくれることです。」

ベライゾンの 2016 年データ漏洩／侵害調査報告書によると、ほとんどのデータ漏洩ではユーザの正規の認証情報が使用され、3 分の 2 近くはパスワードがデフォルトのままであったり、盗まれたりしたことで発生したものでした。Yahoo からユーザに速やかに通知されていたとすれば、ユーザがすぐにパスワードを見直して、オンラインアカウントのパスワードを変更したり、強化したりできたはずです。この大規模なデータ流出は、パスワードセキュリティのベストプラクティスにおいては、どれほど十分であっても過剰な対策はないことを思い出させてくれました。

それでは、オンラインアカウントやパスワードの安全性を向上するには、どうすれば良いのでしょうか。

1. アルファベット、数字、記号を組み合わせて使用し、アカウントごとに固有のパスワードを設定しましょう
2. パスワードを定期的に変更しましょう
3. アカウントのセキュリティの質問を定期的に更新しましょう
4. アカウントに二要素認証を設定しましょう

アカウントごとに異なる複雑なパスワードを記憶したり、どこかに書き留めたりするのは大変です。自分の記憶に頼ったり、パスワードを書いた紙を貼ったりするのではなく、パスワード管理ツールの利用をお勧めします。

お勧めパスワード管理ツールの詳細については、以下を参照してください。
http://www.techspot.com/news/67001-top-password-managers-lock-down-security-online.html