がべーじこれくしょん

技術系とかいろいろ

ヤホーが乗っ取られた件について

しくじった

先日見事に某Yahooのアカウントが乗っ取られました。


きっかけは些細な事から

気づいたのは、Tポイントとアカウント連携しているアプリがエラーを吐いているところからです。

ある日ふとポイントを確認しようとアプリを開いたら、「IDとパスワードが間違っているようです」というエラーメッセージが。

「また回線の不調かなにかかな…」と思った僕はYahoo!Japanにアクセスしてログインしてみる。

(あれ…なんで弾かれるんだろ…)

そう思ってメールをチェック。すると以下のようなメールが大量にきていた。

**で始まるYahoo! JAPAN IDの連絡用メールアドレスから hogehoge@fuga.foo が削除されました。 ■パスワード再設定完了 **で始まるYahoo! JAPAN IDのパスワードは2016年x月yy日 00:11:22に再設定されました。

※当該アドレスや日付は伏せてあります。

明らかに見覚えのない時間や内容。というか明らかにこの時間は寝ていたぞ…

というわけでパスワード再設定を試みる。しかしなぜかログインできない。

ここで運営に連絡。しかし夜なのですぐには返信がかえってこない。

他にも被害がないかみたところ、Pixivもなぜかログイン不可になっていた。

Pixivに紐付けてあるのは被害があったYahooアカウントのため、パスワード再設定メールが届かない。

ここでさすがに思った。

やばい、詰んだ。

ここでしばらく頭を抱えていた。正直頭真っ白でどうにもならなかった…


力づくで奪還

途方にくれている中、とりあえずもがこうと思い、パスワードリセットを繰り返し申請した。

パスワードリセットを完了した直後にログイン画面に移動しログイン試行…というのを何回か繰り返し、なんとかログイン成功。

ワンタイムパスワードを設定し、とりあえず一安心。

アカウントをとりあえず無事取り返したのち、ログイン履歴をみてみると…

スクリーンショット 2016-03-23 9.39.34

なにやらすごい海外サーバーを串刺ししてアクセスした形跡がある。許せねえ…


Yahooのアカウント情報は罠だらけ

落ち着いたところで、なぜ不正ログインされたのかを考えてみたところ、「秘密の質問」が大きく関わっているのではないのかと思いました。

Yahooの場合、どういうわけか、初期に登録した「生年月日」と「秘密の質問」は、変更することができない仕様になっています。これが大きな罠です。

秘密の質問は設定しないという選択もできます。しかし、一度設定すると秘密の質問を削除することができません。仮に、「秘密の質問を設定してしまいあとで削除したい」となっても、どうやら削除することはできないようです。

秘密の質問は、どのサイトでも大きなセキュリティホールとなっています。Yahooのこの仕様は如何なものと思われますが、こればかりはどうにもならないと思います。

「Yahooは使わないほうがいい」と言いたいところですが、TポイントもなぜかYahooIDに統合されてしまいましたし、ありとあらゆるサービスがYahooに紐付けられてしまっている今となってはどうすることもできません。

大切なのは、二段階認証などを用いてなるべくセキュリティ効果の高い設定にしておくということです。

秘密の質問の仕様については呆れたものですが、もうこうなったら他の方法でセキュリティ強化するしかありません。

  • なるべく秘密の質問は設定しない
  • 2段階認証などを用いたセキュリティ強化をする

この二点については、今まで以上に気をつけるべきだと思われます。

パスワードもできれば違うやつを設定しましょうね…