サイバー攻撃を契機に、セキュリティ強化対策に乗り出す

　冒頭で楠氏は、現在のヤフーのアカウント概況について紹介した。同氏は「約2億以上あるヤフー登録IDのうち、Yahoo!ウォレットに登録しているID数、つまり同サイト内で物を買ったり、決済したりできるID数は2013年6月時点で約2460万人分あります」と語る。

　こうした状況の中で、ヤフーは今年4月に最初のサイバー攻撃に遭い、さらに約1か月後の5月には2回目の攻撃を受けた。

　「2012年秋頃から、GoogleやEvernoteなどがサイバー攻撃の対象となりはじめていましたが、今年4月には我が社のサーバが不正アクセスの標的となりました。翌5月には最大で2200万件のIDが流出した可能性があることが分かり、うち約149万件については、残念なことにユーザーのIDと、不可逆暗号化されたパスワード（＝ハッシュ化されたパスワード）が漏れた可能性がありました」

　これらの事故を受けて、同社はサイバー攻撃に対する対策に乗り出すことになる。

　「まず、最初にサーバの認証強化に取り組みました。今回のケースでは管理の弱い、あるいはパスワードの変更が十分に行われていない管理者のアカウントからサーバに侵入されたためです。ヤフーには数万台のサーバがあるため、全ての管理者アカウントを変更し、どのサーバに入るためにも二要素認証が必要な環境を作りました」

　また本当に必要な管理者だけが権限を持っているかどうかをチェックするために、運用アカウントの棚卸も行い、マルウェア対策もさらに強化した。

　「加えて、それまでは取得するだけできちんと見ることができていなかった各種ログの監視体制も強化しました。ただし、ヤフーは数万台のサーバで週約143億PV （2013年4月週平均）のトラフィックを捌いており、膨大なログが蓄積されています。その全てを見るのは不可能なので、いかにして変化の予兆に気が付くかがとても重要です」

ヤフーが受けたサイバー攻撃の特徴とは

　次に楠氏は「今も攻撃は続いており、対処している状況なので、具体的な話はあまりできないですが」と前置きした上で、今回受けたサイバー攻撃の特徴について言及した。

　「第一に挙げられるのは、管理のずさんなアカウントをターゲットとした外部からの標的型攻撃だったということ。そして我々が把握している範囲では、マルウェアへの感染が1つの契機になっていました」

　端的にいえば、マルウェアに感染してバックドアが開いた状態のPCがあり、そこから社内ネットワーク経由でサーバに侵入されたということだ。もちろんヤフーでは、ネットワークの”表玄関”には様々なセキュリティ対策を徹底的に施していた。しかし今回の攻撃では、PCの脆弱性によって開いてしまったネットワークの“裏口”から、段階的に管理の甘いサーバやアカウントを洗い出されて侵入されたということである。

　「ログを調べてみると、攻撃者は試行錯誤を繰り返し、失敗したら別の手口で確かめるということを何か月にも渡って行っていたことが分かりました。これは単なる愉快犯ではなく、明確に我々をターゲットに定め、周到に準備をして仕掛けてきたということです」

　ヤフーでは、攻撃者が侵入を試行錯誤している過程でシステムにいくつかのトラブルが起きていた。楠氏は「不正アクセスを見つければ簡単に止められそうな気がしますが、目の前で起こっている出来事が本当に侵入なのか、それとも運用やメンテナンスの範囲なのかの判断をマニュアル化することはかなり難しい。現場は、悩みながら追いかけていく、という状況です」と語る。

【次ページ】振り返って得られた7つの教訓とは？