« Steam乗っ取りからのメッセージで偽サイトへ誘導 | トップページ | UBIアカウントにリスト型攻撃 »

2018年6月30日 (土)

Yahooで秘密の質問による被害

Yahooでパスワードを変えても何度もパスワードを変更されて不正ログインされているという人がいたので色々と話を聞いてみたところユーザー側では対処しきれないような被害状況でした。

不正ログイン前の使用状況は

  • いろいろなサイトの登録に利用
  • 知り合いなどとはYahooのメールアドレスは使用していないためアカウントを知らない
  • セーフティーアドレスも使用していた。

このような状況で、シークレットIDやワンタイムパスワードは利用していないもののセーフティーアドレスもありリスト型攻撃も受けにくそうな感じで利用していたようです。

それが数日前から毎日のようにパスワードの変更からの不正ログインという被害をうけているということで、パスワードの変更をしても同様の被害がなくならないということでした。

そこで連絡用メールアドレスに知らないメールアドレスが追加されていないかと、シークレットID、ワンタイムパスワードの利用と個人情報などの削除でパスワードの変更の手段を減らす対策をした方がいいと話したところ、すでに調べていたようでメールアドレスの追加は無し、シークレットIDの導入で現在はパスワードの変更のみでログインは止まっている、個人情報も削除済みとのことでした。

この状態でも一時的にシークレットIDを解除してみたところパスワードの変更をして不正ログインをしてきたということで誕生日と秘密の質問を利用したパスワードの変更の可能性が高いと判断できます。

そこでログイン履歴からIPアドレスがどのようになっているかを聞いてみると通常のログイン履歴にTorからの履歴が残っており、一時的にシークレットIDを停止していたときには海外の匿名Proxyの履歴が残っておりメールソフトログイン履歴には何も残っていないという話です。

他に同じ被害の人がいないことやTorを使った大規模な不正ログインはないことから私怨による被害だろうと判断できる状態です。被害に遭った人によると犯人に心当たりはないようで、最近までIT関係の職場にいたからそれ関係かもという程度のようです。

どうやってアカウントか秘密の質問などを知ったのかということを考えて、Facebookやmixiのような個人情報とメールアドレスが知られやすいSNSを利用していないかを質問したところどちらも利用したことがないという話で、どうやって知ったのかというところは不明です。

可能性としてはTwitterのアカウントを知っていてパスワードの忘れた場合から一部表示されるメールアドレスをTwitterのアカウントや知っている個人情報などから推測してYahooのアカウントを特定したのか、Yahooのアカウントかセーフティアドレスのベースネームを知っている人間がTwitterのアカウントを特定して秘密の質問の答えなどの個人情報を調べたという2種類の可能性を疑っています。

どちらにしろ秘密の質問の回答が知られてパスワードが簡単に変更される事態になるとユーザー側では秘密の質問の変更ができず、サポート側の対応次第といったところでしたが対応を待っている間にも何度もパスワードの変更をおこなわれるために新しいアカウントを作るということで対応することになりました。

3年前に試したときにも思いましたが、シークレットIDの解除やワンタイムパスワードを利用していてもパスワードの変更が可能だったり(追記で書きましたが解除も可能でした)といった秘密の質問の機能が強力すぎるために知られた場合の被害が甚大になってしまうというところに問題点があります。嫌がらせ目的やストーカー対策の点からも秘密の質問にまじめに答えると問題点がありすぎます。他にも被害が出ないように別の方策を考えないと悪用されかねません。

7/4 追記

私の調査不足でこちらからワンタイムパスワードも停止できるとのことです。

https://account.edit.yahoo.co.jp/forgot_acct?.src=acct&.done=https%3A%2F%2Fwww.yahoo.co.jp&.mode=3&.display=

ある程度個人情報などを知っている知人やストーカーなどに秘密の質問の答えを知られるとユーザー側ではどうすることもできずアカウントを削除して別のアカウントを作成するなどしか方法がなさそうですね。

秘密の質問以外にもTカード番号でも解除できるようなのでTカード番号も知られると危険ですし、以前調べたときにワンタイムパスワードもメールとアプリで解除に何か違いでないかといった調査も時間不足でできていなかったので、そちらもやるべきなんですけどね…

7/11 追記

Yahooのサポートからは身元確認のできる有料会員でないと秘密の質問の変更はできないとの回答があったとのことです。ただ、このような被害にあっているのに有料会員にしたくないということでアカウントを使用しないようにしたという結論です。

その後さらにパスワードの変更をされたようですが、シークレットIDの解除まではされずにログインはされなかったようです。その時に過去も含めてメールに利用していたニックネームを利用してパスワードの変更をされていたということがわかりましたが、ちょうど同時期に同じようにニックネームでパスワードを変更されたというツイートが一つあったので、ひょっとすると知り合いではなく何らかの情報から無差別にやっていた知り合いでも何でもない人という可能性もありそうなんですよね。

« Steam乗っ取りからのメッセージで偽サイトへ誘導 | トップページ | UBIアカウントにリスト型攻撃 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Steam乗っ取りからのメッセージで偽サイトへ誘導 | トップページ | UBIアカウントにリスト型攻撃 »