« Skypeで25歳のアメリカ人女性からのコンタクト | トップページ | ココログの利用規約変更 »

2015年9月 1日 (火)

Yahooのワンタイムパスワードを使用していてパスワードを変更された?

Yahooの不正ログインでワンタイムパスワードを導入していたとのツイートがあったので調べていました。結果は違うようでしたが、別の問題点はありそうです。

ワンタイムパスワードの導入がどうなっているかというと、こちらが詳しいです。

知っておきたい2段階認証の方法 - Yahoo! JAPAN ID編 (1) メールかアプリで認証 | マイナビニュース
http://news.mynavi.jp/articles/2015/03/23/yahoo/

秘密の質問を設定しないと利用できず、アプリとメールが選べます。秘密の質問とメールの組み合わせが弱点になりそうかな?という感じですね。

Yahooの秘密の質問に関してはこちらのブログでも指摘されています。

Yahoo!ジャパンの「秘密の質問と答え」に関する注意喚起 | 徳丸浩の日記
http://blog.tokumaru.org/2013/06/yahoo.html

誕生日と秘密の質問の答えを知っていれば、パスワードを知らなくても変更できるというようですね。

そこで実際に自分のアカウントで実験してみました。

パスワードの再設定の作業自体はワンタイムパスワードがあってもなくても同じようです。

ところがパスワードの変更は出来ても、ログインはワンタイムパスワードのメールを受け取らないと出来ない仕様に変更されているようです。その為、ワンタイムパスワードの設定の変更はできません。

ログインできない場合のお手続き - Yahoo! JAPAN
https://account.edit.yahoo.co.jp/forgot_acct

不正ログインを成功しようとすると、ワンタイムパスワードを受け取るメールアカウントも同時期に不正ログインをしておかないといけないとなります。

そこで元のツイートをよーく分析してみると、複数のアカウントを所持しており、不正ログインをされたのはワンタイムパスワードを使用していなかったアカウントで、ワンタイムパスワードを使用していたアカウントはパスワードの変更だけをされたのではないかという結論に至りました。

とはいえ、他にもワンタイムパスワードを使用していないようですが、パスワードを変更されてアカウントを乗っ取られたと思われるものも見つけています。

妻がYahooのパスワードと連絡用メールアドレスと秘密の質問の... - Yahoo!知恵袋
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10149641600

検証の結果、ワンタイムパスワードを使用していても同様にパスワードを変更できます。

その条件は

  • Yahoo! JAPAN ID、ニックネーム、シークレットID、メールアドレス、携帯電話番号
  • 誕生日+秘密の質問、連絡用メールアドレスに確認コード、クレジットカード番号、Tカード番号

この2つのどれかの組み合わせとなっています。

1つめのメールアドレスはYahooIDのメールアドレスのようなのでセーフティメールは含まれないようです。

1つめの条件ではシークレットIDを利用して入れば、通常はログイン時のIDを知られていないと思われるのでワンタイムパスワードを利用していなくても不正ログインは出来ないと思われますが、その他の条件でパスワードは変更される可能性はあります。

クレジットカードとセットで電話番号やメールアドレスも流出していると発表している事もありますので、パスワードの変更は防げないかもしれません。

ワンタイムパスワードやシークレットIDを使用したり、セーフティアドレスで元のIDも知られないようにと出来るだけのことをやり、極力情報を保存しないといった対策が必要かもしれません。

ただし、パスワードの変更をすると連絡用メールアドレス(Yahoo以外)に連絡が届きますので、無効なメールアドレスのままにしていたりメールチェックしていなかったりという事が無ければ、その時点で気づくと思われます。

もっと安全ガイド - Yahoo! JAPAN IDガイド
http://id.yahoo.co.jp/security/index.html

Yahoo!メールヘルプ - セーフティーアドレスとは
http://www.yahoo-help.jp/app/answers/detail/p/622/a_id/47929/~/%E3%82%BB%E3%83%BC%E3%83%95%E3%83%86%E3%82%A3%E3%83%BC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%A8%E3%81%AF

追記

メールアドレスログイン設定で連絡先メールアドレスを登録しておくと、登録したメールアドレスも同時に乗っ取られていた場合シークレットIDも使用しない設定にできるようです。

2018/ 7/ 4 追記

シークレットIDやワンタイムパスワードも解除できるようで、これらをやられるとユーザー側でできる対策はなさそうですね。

« Skypeで25歳のアメリカ人女性からのコンタクト | トップページ | ココログの利用規約変更 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Skypeで25歳のアメリカ人女性からのコンタクト | トップページ | ココログの利用規約変更 »