Yahooパスワードリセット祭り
Yahoo!IDのパスワードが強制リセットされるケースが頻発しているようです。
Yahoo Japan!IDのパスワードが強制的にリセットされることはしばしばあります。
このことはヘルプでも明記されてします。
「ご利用を続けるにはパスワードの変更をお願いします」と表示される
Yahoo! JAPANでは、お客様の情報をお守りするため、以下のいずれかに該当した場合、生年月日による本人確認と、パスワードの変更をお願いしています。Yahoo! JAPAN IDに関するヘルプ - 「ご利用のYahoo! JAPAN IDが、第三者から不正にログインされている可能性があります。」と表示される
- 長い間ご利用がない、長い間パスワードが変更されていない
- パスワードに推測されやすい文字列が設定されている
- お客様のYahoo! JAPAN IDで第三者にログインされた可能性がある
一番可能性が高いのは、短い、推測されやすい脆弱なパスワードを、長期間変更しなかった場合です。
今朝某氏から「さんだばでメールがつながらないんだけど」とiモードメールをいただきました。相談に乗ったのですが、ThunderbirdでYahooメールを読み書きしているけれど接続できなくなってしまったとのこと。パスワードなんていつ変えたか覚えていないということなので、どうやらこれに引っかかったようです。ログインしてパスワードを再設定しようにも生年月日が分からない、というかおそらくアカウント作成時に生年月日を適当に入力していた可能性が高く、本人の真実の生年月日を入れても弾かれてしまうのです。
ログインできなくなるとどうなるか。上記ヘルプには、
上記の対処方法を試しても、エラーになる場合は、新たにYahoo! JAPAN IDを登録してください。
Yahoo! JAPAN IDに関するヘルプ - 「ご利用のYahoo! JAPAN IDが、第三者から不正にログインされている可能性があります。」と表示される
とさりげなく恐ろしいことが書かれています。
新規登録しろとはすなわち、データの復旧はあきらめてゼロからやり直せ、ということ。
ということで、10年近く使ったアカウントがあえなくお亡くなりになってしまったようです。合掌。
まあ一応、Yahoo!Japanにメールを出して嘆願してみるように伝えましたがたぶんダメでしょう。
ただし、Thunderbirdで読み書きをしていたので、パスワードリセット攻撃を受けるまでに送受信したメールは読める、というのが不幸中の幸い。
Webブラウザ版だけで使っている場合は、もう一切読めなくなっちゃうところでした。
ということで、
- Yahooなんて信用するな
- 登録メールアドレスが変わったらちゃんと変更しろ
- 面倒くさがらず、年一回は必ずパスワードを変更しろ
- 生年月日はちゃんと記録しておけ
と偉そうなアドバイスを送ったのですが、後で知ったのですが(汗)今回はアドビの流出が震源だそうですね。
調査により現在のところ、攻撃者は当社のシステム上にあるアドビの顧客IDおよびパスワードにアクセスしたことが分かっています。また、攻撃者はお客様290万人分の情報を抜き取ったと考えられます。アクセスされた情報には、顧客名、暗号化されたクレジット カードまたはデビットカードの番号、有効期限、および顧客注文に関連するその他の情報も含まれます。現時点で、当社システムからアクセスされたクレジット カードまたはデビットカード番号の暗号化が解除されたとは考えられておりません。
お客様情報のセキュリティに関する重要なお知らせ | Adobe.com
これが10月に起こったアドビの流出。
アドビの流出リストのIDを見て、Yahoo!Japanが、同じID・ユーザー名を使っているなど、同じパスワードが使い回されている可能性が高いアカウントについてアカウントについて、一斉にパスワードリセット措置を取ったらしいという話です。たとえば、同じ無料サービスということで、Yahoo!Japan IDと、アドビの無料のユーザー登録を同じユーザー名、同じパスワードを使い回してしまっているようなケースが結構あり得るのではないかと思います。そういうケースに該当するアカウントがパスワードリセットの対象になっている、ということです。
パスワードリセット攻撃の対策
だとすると、今回パスワードリセットの対象にならなかった人でも、パスワード使い回しに思い当たる節がある場合には、今後Yahoo!Japanからパスワードリセット攻撃を受ける可能性があります。放置中で凍結されても良いアカウントならそのまま放置してもいいでしょうが、現に使用中のアカウントである場合は、先んじて対策しておく必要があります。
一番良いのは、いつパスワードリセット攻撃を受けてもいいように、登録されている生年月日と秘密の質問を確認して、手元に記録しておくことですが… できません。
生年月日と秘密の質問は、登録後はもうどうやっても確認できないのです。
生年月日は変更できません。またセキュリティーの観点から表示されず、確認できません。
Yahoo! JAPAN IDに関するヘルプ - 登録情報を変更、確認したい(登録情報ページの見方)
「秘密の質問と答え」とは、Yahoo! JAPAN IDの登録情報として設定する、あなたしか知らない「質問」と「答え」を組み合わせた言葉です。パスワード再設定の際、お客様の本人確認に使われます。このため、設定後の確認や変更はできません。
Yahoo! JAPAN IDに関するヘルプ - 「秘密の質問と答え」とは
俺のアカウントなんだから生年月日くらい確認・変更させてくれよ、と思わないでもないですが、生年月日を確認・変更する権限を誰に対して認め誰に対して拒否するかという難問に突き当たっちゃいますので、まあこれは仕方のないところ。
したがって、生年月日と秘密の質問を忘れてしまったアカウントは、凍結される可能性が高い危険なアカウントです。
生年月日と秘密の質問以外にも、予備の登録メールアドレスに確認メールを送ってもらう、Yahoo!ウォレット登録のクレカ番号で認証する、という手段もあります。でも、万全を期するには、生年月日と秘密の質問も使える状態にして、どれかの手段が使えなくなっても大丈夫、という状態にしておく方がよいでしょう。プロバイダを変えて登録メールアドレスが使えなくなった、情報流出でウォレット登録のクレカ番号が変更された、なんてことになるかもしれないのです。
万全を期するためにはどうすべきか、というと、今のアカウントにログイン可能なうちに、新しいYahoo!Japan ID*1 を作成して、アカウントのお引越をするしかないでしょう。
積み重ねたヤフオクの評価のようにどうやってもお引越不可能なものもありますけど、不意に凍結されるよりはマシではないかと。
生年月日は数字6ケタのパスワードである
生年月日はパスワードです。忘れちゃダメです。
選択肢は二択です。
- 常に真実の生年月日を登録する
- どんな生年月日を登録したか、常に記録を残しておく
どちらかを選ぶ必要があります。
本当の生年月日を知られるのは嫌だ!という人は、ID、パスワードと並んで生年月日も常に記録しておく必要があります。
私も、本人確認に生年月日が必要になるようなケースをのぞいて、本当の生年月日を登録することは滅多にありませんが、登録した生年月日はすべて記録しています。
ただし、その生年月日は以下の6つに留めています。
- 日だけを、本当の誕生日から一定数加算したもの。
- 日だけを、本当の誕生日から一定数減算したもの。
- 月だけを、本当の誕生月から一定数加算したもの。日は本当の生年月日と同じ。
- 月だけを、本当の誕生月から一定数減算したもの。日は本当の生年月日と同じ。
- 年だけを、本当の誕生年から10年加えたもの。月と日は本当の生年月日と同じ。
- 年だけを、本当の誕生年から10年減じたもの。月と日は本当の生年月日と同じ。
これだと、万一記録にミスがあっても、6パターン試せばどれかが合っているはずです。
…最近まで以上の6パターンだったのですが、最近「年だけを、本当の誕生年から20年減じたもの。」で登録しているケースがあります。7パターンに増えました。
いいじゃない20年くらい鯖読んだって。
まあそろそろそういう年齢になってきたということであります。
(追記)凍結されたアカウントを復活させられる、かもしれない!
某巨大掲示板の優しい熊さん情報より。
PCやスマートフォンからログインできなくなっても、携帯電話からログインすれば解決するかもしれない、という情報が載っています。
携帯電話からログインに成功したら、Yahooウォレットとか、Yahooかんたん決済とか、任意のYahooのサービスでクレジットカードを登録します(実際に課金まで進む必要はない)。そうすれば、「有料サービスを利用中のユーザー」ということになるので、その後に有料サービスを利用しているYahoo! JAPAN IDの登録情報修正(パスワードの再設定)を行えば、パスワードを再設定できるかもしれないとのことです。
が、私の知人に連絡した実行させてみたところ、そもそも携帯電話でログインすることができませんでした。残念。
でも、某巨大掲示板には成功報告がいくつも載っているので、アカウントを停められて困っている方は、お試しになってはいかがでしょうか。詳細は某巨大掲示板のYahooメールスレへどうぞ。
*1:もちろん、新しいアカウントでは、登録メールアドレス、パスワード、生年月日、秘密の質問は完璧に控えておく必要がある。そうでなければ新しいアカウントを作る意味がない。
