ICHIRO BLOG引っ越しました

山本一郎です。暑くなりましたね。早く神宮球場でビール飲みながら半裸でスワローズを応援できる日々がきて欲しいと思います。このツマミ出されるリスクをものともしない姿勢が大事なのです。

ところで、ヤフーが先月に引き続き、また不正アクセスによる攻撃を受けました。今回は最大で2200万件のIDが流出した可能性もあるとのことです。

当社サーバへの不正なアクセスについて（ヤフー 2013/5/17）
ヤフー ２２００万人分のＩＤ流出か（NHKニュース 2013/5/17）
ヤフー、最大2200万件のIDが流出の可能性--確認ツールも公開（CNET Japan 2013/5/18）
ＩＤ流出のヤフー、サイト内に不正確認機能を開設（2013/5/18）

一人で重複していくつもヤフーIDを取得しているユーザーは少なくないでしょうが、それにしても2200万件とはかなりの数です。これは、日経の記事によれば「同社の全体の10分の1にあたる」そうです。

そういえば、昨年、ヤフーとCCCがポイント事業で戦略的資本・業務提携を発表した際に興味深い数字が公開されていました。

CCCの増田社長によると、Tポイントのアクティブユニーク会員は5月時点で約4000万人、加盟店は約4万6000店、年間取扱高は2011年度実績で約2兆円に上る。一方、Yahoo! JAPANはアクティブユーザーID数が約2641万人、店舗数はEコマースが約3万7000店、Yahoo!ロコ加盟店が約18万店、年間取扱高が約1兆円だという。INTERNET Watch

かなり極端な話となりますが、もし今回のID流出がアクティブユーザー2641万人のIDだけ対象になったと仮定すれば、なんとアクティブユーザーの8割以上が被害にあったという勘定にもなります。正直、アクティブユーザーのどのくらいが被害にあったのかは興味深いところです。

また、日本のインターネット利用者数は、総務省の統計によれば平成23年末で9610万人ですから、ヤフーIDの重複利用率を一人あたり最大2IDまでと無理矢理仮定すれば、1100万人となり、国内インターネットユーザーの10人に1人がヤフーID流出の被害者とも換算できてしまいますね。この規模は東京ドーム何個分なのでしょうか。

日本のインターネット利用者数（情報通信白書 for Kids/総務省）

もちろんIDだけが流出しても、パスワードがしっかりと守られていればすぐに不正利用されて具体的な被害にあうことはありませんが、今後、この流出したIDを悪用した事件が絶対に起きないとは言い切れない状況でもあります。

今回の事件でまず気をつけるべき具体的な脅威は、流出したＩＤをもとに、事件そのものの対策を装った標的型メールやメッセージを送ってくるというものだ。例えば、「あなたのＩＤが被害に遭った可能性があるので、こちらにアクセスして情報を確認してください」というメールを送って不正サイトに誘導し、つられてアクセスした人が入力したパスワードなどの重要情報を盗むフィッシングである。日本経済新聞

先に紹介したヤフーとCCCの業務提携も拡大する方向で進んでいるようですから、嫌な話ですが、ヤフーIDを悪用しようと考える側にとってもそのスケールメリットはますます拡大していると言えるのかもしれません。母数が大きくなればなるほど、何か起こしてしまったときの被害は甚大なものになりますんで。

ヤフー、中小店舗向けTポイントサービス導入に端末提供（読売新聞 2013/5/15）

ヤフーは「今回の不正アクセスは前回の不正アクセス後に実施した対策の中で、関連するアカウントの認証の再設定を社内で徹底させることができていなかったことに起因して」いるとして謝罪していますが、事件が起きた原因究明と今後の対策に是非とも頑張っていただきたいと思う次第です。

次はmixiが何か流出させるターンだと思うのですが、健闘を祈っております。