「強制パスワードリセット」は正しい措置なのか? Yahoo!情報流出事件に学ぶ問われる企業の対応

米Yahoo!からユーザー情報が流出した事件で、経営陣がパスワードの強制リセットを拒んだと伝えられている。パスワード強制リセットは正しい対応なのだろうか?

2017年04月20日 08時00分 公開
[Mike O. VillegasTechTarget]
大規模な情報漏えいが発生した米Yahoo!のヘルプページ《クリックで拡大》

 New York Timesの報道によると、米Yahoo!の大規模な情報流出を受けて、同社の情報セキュリティチームは全電子メールアカウントのパスワードを強制的にリセットさせたい意向だった。だが経営上層部がそれを認めなかったという。パスワードの強制リセットは、情報流出が起きた会社にとっての標準的な対応とすべきなのか。その対応に難点はあるのか。

 Yahoo!は2016年12月、10億を超すYahoo!ユーザーアカウントの情報流出が2013年8月以降に確認されたことを明らかにした。2016年9月の時点では、少なくとも5億のユーザーアカウント情報が2014年に盗まれたと説明していた。盗まれた情報には、氏名、電子メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、場合によってはセキュリティ質問と答えの暗号化された内容と、暗号化されていない内容が含まれる。情報が流出したユーザーは、パスワードの変更を促す通知を受け取った。

 New York Timesによると、Yahoo!の情報セキュリティチームは経営陣に対し、全ユーザーアカウントのパスワードを強制的にリセットするよう求めたが、経営陣はこの要求を退けた。パスワード変更を強要すれば、ただでさえ減りつつある電子メールユーザーが他のサービスに流れかねないという理由だった。ただ、多くのYahoo!ユーザーはいずれにしても、パスワードの変更を余儀なくされた。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news108.jpg

TikTok売却義務化に合憲判決 これからのシナリオを左右しそうなトランプ氏と「あの人」の意向
米連邦控訴裁判所は、TikTokが米政府による強制売却法案の無効を求めるTikTokの申し立て...

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。