ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社のコーポレートサイトはこちらです。
当ページに記載されている情報は、2023年9月30日時点の情報です。

2016.12.21

不正アクセスでID流出。ヤフー最大級の危機に立ち向かい、事件から得た教訓とは何か──

執行役員 チーフテクノロジーオフィサー(CTO)として、ヤフーの技術を経営の立場から牽引する藤門千明。
藤門が「ヤフー創業以来の最大級の危機だった」と振り返るのは、2013年に発生した外部からの不正アクセス。パスワードは守られたが、IDを記載したファイルが流出した。対策本部に寝泊まりしながら、藤門は何を考えていたのか。

新任テクニカルディレクター、不正アクセスに遭遇する

今から3年以上前の2013年5月17日、ヤフーは以下のプレスリリースを緊急に発表した。

──5月16日の21時頃に、Yahoo! JAPAN IDを管理しているサーバーに、外部からの不正アクセスがあったことが判明しました。4月2日に発生した不正アクセスを受けて監視体制を強化していたところ、不審なログインを検知したものです。調査の結果、最大2200万件のIDのみが抽出されたファイルが作成されていることがわかりました──

幸いにも、作成されていたファイルには、パスワードやパスワードを忘れたときに必要な「秘密の質問」など、ID以外のデータは含まれていなかった。

「IDはサービス上に表示されて誰でも見ることができる公開情報で、ユーザーの皆さまの個人情報は一切含まれておりません」とリリースは述べている。

このとき、藤門はYahoo! JAPAN IDを管轄する部署のテクニカルディレクターに就任したばかりだった。その直後に、連続して不正アクセスを受けることになったのだ。

「4月のアタックは未然に防げました。それを受けて、セキュリティー対策の強化が必要だとは考えていました。だからこそ、じっくり取り組む必要があると。ただ、敵は時間のゆとりを与えてくれなかった」

5月の2度目の攻撃があった日、藤門はひどい風邪をひいていた。ニンニク注射でも打ってもらおうと病院を訪ねた矢先に、上司から連絡を受けた。熱でふらふらとしているときに、さらに心身にダメージを与える事件が発生したのだ。

「今晩はいい。風邪を完璧に治して、明日早く出勤してくれ」

上司はそう言った。
翌早朝に出勤すると、普段役員が会議をするボードルームが緊急対策室になっていた。「事態によっては、ヤフー創業以来の危機になるかもしれない」──内心そう思っていた藤門はそれから数日、会社に泊まり込むことになる。

冷静に対策を指揮。しかし社長はもっと冷静だった

まずIDがどれぐらい流出しているかを把握しなければならない。ID担当メンバーの30人が交代で出勤する24時間態勢で調べ上げた。結果的に、140万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことがわかった。

しかし、一般ユーザーは「ID流出」と聞いただけで、びっくりする。ヤフーへの問い合わせが殺到した。藤門たちは、IDが流出しているかどうかをユーザーがチェックできるツールをすぐに発表。
その後も、IDだけでなく他のデータは流出していないのか、各サービスにセキュリティーホールはないのかなどを徹底して調べていった。各サービス担当のテクニカルディレクターたちは打ち合わせを繰り返し、対策すべきポイントを網羅的にリストアップした。

沈着冷静に振る舞う藤門だったが、背中にはびっしょり冷や汗をかいていた。

「そのとき感じたんですが、対策室での、社長である宮坂学の態度はもっと冷静でした。トップに冷静にされると、自分たちも現実に引き戻され、落ち着ける。トップたるものの、肝の据え方を学びました」

普段から準備を重ね、危機に最大限の力を解き放つ

2013年度上半期の藤門は、セキュリティー対策を最重要課題としていた。ビジネスの収益拡大を考える立場からすると、セキュリティー対策はそれ自体が収益を生むわけではないから、ともすると対策が後手に回りがちだ。
しかし、長い目で見ればセキュリティーの強化は、何よりユーザーを守り、そして会社の信用力を高め、ブランド力の強化につながる。いま、CTOとしてヤフーの技術全般に関わる藤門だが、セキュリティーの重要性の認識は、この時期に肌身で体得したものである。

2013年5月の時点から比べると、現在のヤフーのセキュリティー対策ははるかに高度化されている。CISO(最高情報セキュリティー責任者)が統括して全社的なセキュリティー強化に取り組むほか、プラットフォーム開発本部にセキュリティー専任のチームが設置されている。
データ、アプリケーション、エンドポイント、内部ネットワーク、ネットワーク境界部など、全般にわたる多層防御が対策の基本だ。ワンタイムパスワード認証やシークレットIDなど、ユーザーが自ら実施できるセキュリティー強化機能を装備し、ユーザーの啓発にも務めている。

「しかし防御対策を出し抜くように、攻撃も常に進化している。だからこそ、攻撃者の気持ちになって対策を講じることが必須。セキュリティー対策に決して終わりというものはないのです」

もう一つ、不正アクセス事件から得た教訓が、藤門にはある。

「このとき改めて、ヤフーには組織としての力や個としての力が備わっていることを感じました。危機に際しては組織と個がまとまり、より強い力が発揮される。その力を最大限に解き放つことできるよう、メンバーを鼓舞し、環境を整えることが、組織のリーダーの役目なんだと」

CTOになった今も、藤門の思いは変わらない。

関連記事

このページの先頭へ