Yandexの40GB超えの内部情報流出は「従業員が流出させた」という公式コメント、流出ファイル一覧もアリ

2023年1月25日に、borderline2023と名乗るハッカーがロシア最大の検索サイト「Yandex」から44.71GBにおよぶGitリポジトリを取得したことを報告しました。この大規模な内情情報流出について、Yandexが「ハッキングの可能性は考えられず、従業員による流出と考えられる」という旨のコメントを発表しました。

Yandex denies hack, blames source code leak on former employee
https://www.bleepingcomputer.com/news/security/yandex-denies-hack-blames-source-code-leak-on-former-employee/

Yandex Services Source Code Leak · Arseniy Shestakov
https://arseniyshestakov.com/2023/01/26/yandex-services-source-code-leak/

Yandexは「ロシアのGoogle」とも呼ばれる大手検索サイトで、Googleのように地図検索や、メールサービス、AIアシスタントなど多様なサービスを展開しています。ところが、2023年1月25日にborderline2023と名乗るハッカーが「Yandexから44.71GBにおよぶGitリポジトリを取得した」と宣言。borderline2023が取得したデータにユーザーデータは含まれていなかったものの、Yandexのサービスに関するデータが大量に含まれていることが話題になっていました。

ロシアのGoogleこと「Yandex」の40GB超のGitリポジトリが漏えい - GIGAZINE

borderline2023は、Gitリポジトリの取得宣言と同時に、取得したデータを公開していました。公開されたデータをソフトウェアエンジニアのArseniy Shestakov氏が分析した結果、流出データには以下のYandexサービスのソースコードが含まれていることが判明したとのこと。

・Yandexの検索エンジンおよびインデックス用ボット
・Maps(地図検索サービス)
・Alice(AIアシスタント)
・Taxi(配車サービス)
・Direct(似た広告システム)
・Mail(フリーメールサービス)
・Disk(クラウドストレージサービス)
・Market(オンラインショップ)
・Travel(旅行支援サービス)
・Yandex360(Yandexのサービスを独自ドメインで利用可能にするサービス)
・Metrika(ウェブサイト訪問者分析ツール)

上記のサービスに加えて、決済サービス「Pay」やクラウドコンピューティングサービス「Cloud」のソースコードの一部も流出が確認されています。また、Shestakov氏は流出したファイルの一覧を以下のページで公開しています。

File List for Yandex Source Code - FILENAMES ONLY! · GitHub
https://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989

大規模なデータ流出が話題になる中、Yandexは海外メディアのBleepingComputerに対して「Yandexはハッキングされていません」と述べ、元従業員が内部情報を流出させたことを認めたとのこと。また、Yandexの元上級システム管理者であるGrigory Bakunov氏は、「データ流出の動機は政治的なもので、データを流出させた元従業員は競合他社にデータを販売しようとしたわけではありません」「流出データにはユーザーのデータは含まれておらず、ユーザーのセキュリティやプライバシーに直接的な影響は与えません。また、Yandexの独自技術の流出に直接つながることもありません」と述べています。

一方でBakunov氏は「ハッカーが流出データを分析することで、Yandexの脆弱(ぜいじゃく)性が特定され、攻撃を実行される可能性があります」とも述べており、長期的にはセキュリティ上のリスクが発生する可能性があることを認めています。