パスワードを忘れた? アカウント作成
15716389 story
Yahoo!

ヤフオク!、送り状の電話番号を「00-0000-0000」にするよう呼び掛け 67

ストーリー by nagazou
ご注意 部門より
ヤフオク!が送り状に相手の電話番号を記載する場合、「00-0000-0000」などの番号を記載するよう求める異例の呼び掛けを行っているそうだ。現在ヤフオク!では、配送業者を装うなどしてSMS認証コードを聞き出し、Yahoo! JAPAN IDを乗っ取る手口が多発。ID乗っ取りを防ぐための対策として、フィッシングされないように配送時の送り状に電話番号を記載しないことを求めているのだという(取引相手の情報表示の仕様変更についてINTERNET Watch)。

宅配の送り状などには電話番号の記載欄があることから、明らかにダミーの番号で届くのかといった心配があるが、ヤフオク!側の案内によれば、ヤマト運輸(宅急便)、日本郵便(ゆうパック)の場合、お届け先の電話番号の記載は任意であるという。このためこれらに関してはそもそも「00-0000-0000」などの記載も必要ないとのこと。ただヤマトビジネスメンバーズの送り状発行システムを利用している場合、お届け先電話番号の入力が必要になることから「00-0000-0000」など任意の番号を登録することにより、送り状の発行が可能になるとしている(ヤマト運輸:よくあるご質問(FAQ))。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年07月01日 12時15分 (#4280800)

    数年前からパスワードレス認証への移行を強力に推し進めていたYahoo! JAPAN、現在はPayPayやYahoo!ショッピングでもパスワードレス認証が必須。

    問題なのは、これがパスワード認証にSMS認証やFIDO認証を追加する多要素認証ではなく、単要素認証から別の要素による単要素認証への移行でしかなかったこと。
    結果、リスト型攻撃によるアカウント乗っ取りリスクは大幅に減ったものの、SMSによるフィッシング詐欺に脆弱になったので、こんな注意喚起をする羽目になっている。
    もうね、アホかと。バカかと。

    • by Anonymous Coward

      ヤフーはTOTPの2要素認証を実装していたにもかかわらず廃止して、わざわざSMSのみの単要素認証を強制するというアホ
      どういう力学でこういう決定になったのか興味あるわ

      • by Anonymous Coward on 2022年07月01日 13時13分 (#4280848)

        PayPay連携で元のYahooIDと別のYahooIDと連携しようとすると、
        すでに使われている番号だということで
        SMS認証になってた元のYahooIDがSMS認証解除されて、認証不能でログイン不能という神状態に陥る。
        元々のパスワード復旧先メールアドレスを設定していないと、再ログイン不能という異次元の攻撃を受ける。

        もうYahooなんて使わねー。

        親コメント
      • by Anonymous Coward on 2022年07月01日 13時36分 (#4280862)

        本当にTOTPモドキ廃止は謎だったよなぁ
        セキュリティ強化が目的というのは建前で、問い合わせへの対応コスト削減が真の目的だから、何が何でもパスワードを廃止したいんだろうな

        親コメント
    • by Anonymous Coward

      ちなみにY!アカウント取得直後に、SMS認証からパスワード認証に変更すると
      いきなり一定期間ログインをブロックし、Premium登録を拒絶するという謎使用になってる。
      https://support.yahoo-net.jp/PccLogin/s/article/H000013567 [yahoo-net.jp]

      規約に基づいてなんでもありなのがYahoo!

  • by Anonymous Coward on 2022年07月01日 6時58分 (#4280641)

    ヤマトと佐川は会員登録していると、電話番号をもとにして「お届け予定メール」を送ってくる。
    配送日時の事前指定などができなくなるので困るのだが・・・。

    • by Anonymous Coward on 2022年07月01日 9時10分 (#4280679)

      配送業者の本音
      最近置き配が増えてますが
      ベッドとか洗濯機とか大型の荷物は当然入らないし、
      物理的に大きく持ち出すのも非常に手間なので
      送り先の電話番号に掛けて事前に居る時間を聞いてから配達したいので
      番号なしは大型荷物ではやめてほしい・・・。

      親コメント
    • by Anonymous Coward

      できますよ。
      そのメールよこす目的が、再配達を減らすために適切な配送日時の再設定を促すことじゃないですか。

      • by Anonymous Coward on 2022年07月01日 7時12分 (#4280645)

        え!? できるの?

        職場の住所へ送られた荷物に私物携帯の番号が書かれていた時に、
        私物メールへ「お届けのお知らせ」が届いて問い合わせたことがある。
        その際に、住所関係なく電話番号だけで会員情報との紐付けをしている、と聞いたのだけど。

        親コメント
        • by Anonymous Coward

          >住所関係なく電話番号だけで会員情報との紐付けをしている、と聞いたのだけど。
          電話番号をIDとして、会員情報と関連付けしてるから、
          他の情報がなくても電話番号一つで呼び出せるってだけでは。

          それが一番楽だから。

          だけどDBが他の方法で検索できないわけがないと思う。

      • by Anonymous Coward

        電話番号をもとにメールを送ってるから
        まともな電話番号を書かないとメールが届かないって話なのに

      • by Anonymous Coward

        「電話番号を記載しないと(事前通知が届かないから、受け取る側が最初の配達前に)受け取り指定ができない。」
        という意味ですよね。
        正確には受け取り指定ではなくて、受け取り方法の変更かな。
        「届け先情報が合致しない場合」というのは事前通知が届かない原因として業者が提供してるFAQにも記載されています。
        実際に電話番号違いで届かないことがあります。

      • by Anonymous Coward

        クロネコメンバーズのお届け予定や不在連絡の通知が届きません [kuronekoyamato.co.jp]」

        お客様のクロネコメンバーズ登録情報と送り状記載の情報が、ヤマトが定める一定の条件で一

        • by Anonymous Coward

          あくまで可能性だが、その「間違って書いた」電話番号を登録しているユーザが別にいて、
          その人が検索されてその人にメールが送られちゃったのかも。
          00-0000-0000という明らかに誰も使っていない電話番号だと、その電話番号ではユーザ検索に
          失敗し、次に他の情報(住所)からユーザ検索をしてメールを正しく送れる、とか。

    • by Anonymous Coward

      昔、家の中で俺しかヤマトで登録していなかったときは、親宛の荷物でも俺のメアドに配達予告メール届いてた。
      後から父親のアカウントを同じ家の固定電話番号で登録したら、ちゃんと父の荷物は父のメアドへ送れられてくるようになった。

      なので、電話番号は元にしているかもしれないけど、問題はないのでは。

      #本当にその電話番号が使われているかの確認は無かったので、他人の電話番号を勝手に登録してメール受け取れるバグがあるかもしれない。

  • by Anonymous Coward on 2022年07月01日 7時08分 (#4280643)

    固定電話の番号ならOK?

    • by Anonymous Coward

      いままで固定電話を書いていたのを携帯にしたら2回連続で(荷物が届いてから)お届けできませんでしたと言う偽メール来ました。メールの文面はそれぞれ違いましいたが。
      配送業者も配送先も違うのでかなり流行っているのかなと。どこの段階で番号が漏れるのかなぁ?
      固定電話なら大丈夫ですが番号は漏れるので詐欺られる可能性はありますね。

      • by Anonymous Coward on 2022年07月01日 12時21分 (#4280805)

        人気の(?)不在通知のフィッシングSMSはSMS記載のURLにアクセスするとAndroid版はSMSを送付するapkをダウンロード&インストールさせて
        電話帳のアクセス権が許可されれば電話帳の宛先に、許可が無ければ連番で数秒おきにSMSを送信、
        iOSの端末だとappleIDを入力させiPhoneなどを購入するとのことです

        受信した電話帳登録者からの連絡での発覚を防ぐためか、電話帳アクセスを要求せず連番のみで送るタイプもある模様
        インストールしたアプリ自体がSMS送信するため、標準アプリには履歴が残らず1~2か月後のSMS高額料金請求で気付く頃には数千通送信されているという・・・

        親コメント
  • by Anonymous Coward on 2022年07月01日 7時22分 (#4280648)

    今こそ電報の出番

    • by Anonymous Coward

      そして電報のお届けメールがNTTから・・・

  • by Anonymous Coward on 2022年07月01日 7時25分 (#4280650)

    教えたくなっちゃったんじゃないの?

  • by Anonymous Coward on 2022年07月01日 8時06分 (#4280658)

    ヤフオク! or Yahoo!Japan を利用しない

    • by Anonymous Coward on 2022年07月01日 8時55分 (#4280670)

      ヤフオクが廃れ、メルカリ一強になり
      治安がより一層悪化するのであった

      親コメント
    • by Anonymous Coward

      電話を使わないって手もあるかとw

      というか電話番号をどこから入手したか知らんけど
      同様の手口はあるから、これだけの話じゃないと思ったけど
      たまたま配達予定があることを知ってる時に配送会社から連絡があればひっかかる可能性が高くなるのか

  • by Anonymous Coward on 2022年07月01日 9時48分 (#4280701)

    俺は緊急の連絡先(交通事故等)以外は、すべて固定電話の番号を入れてる。
    つうか、そのためのイエデン。
    もちろんSMSは使えない。

    カウンター越しに何かを契約するときに胸ポケットからスマホが顔をのぞかせていても
    「ありません」「これは違います」で通している。

    ヤフオクも使っているし、ほかの通販サイトも使っている。
    ヤマトや佐川なら配達予告メールもちゃんと届く。
    特に困っていない。

  • by Anonymous Coward on 2022年07月01日 9時55分 (#4280704)

    普段はスマホをメインに使って、通話だけガラケーを使ってる。
    SMSの認証はあえてガラケーの番号にしてる。
    そうするとスマホ側に届く、謎のパスワード再設定SMS通知は全部偽物って分かるから重宝してる。

    ま、これも3G停波しちゃうから使えなくなるけどね。

    • by Anonymous Coward

      > ま、これも3G停波しちゃうから使えなくなるけどね。
      ガラホ にするという手は?
      ベースがAndroid にはなってますが、それ以外の機能、使い勝手はほぼ従来のガラケーと同じです。

      • by Anonymous Coward

        通話専用端末として別なのが使い勝手が良かっただけだよ。
        ガラって付く端末が欲しいってわけじゃないよ。

        • 3Gが終わっても、ガラホという「4Gでも使える音声端末」があるから、
          「ガラホ(音声端末)」+「スマホ(データ端末)」の2台持ちにすればいいでしょ、という提案でしょ。

          私はそうしてます。
          PHSの音声端末+MVNOのデータ専用スマホの2台持ちから、
          PHSの終焉に伴い音声端末はガラホに乗り換え。

          データSIMはMNPできないからスマホの電話番号は安定してないので、
          各種ユーザー登録の二段階認証は、音声端末の方の番号を使ってます

          #厳密に言うとガラホって言葉を使ってるのはauだけ [sharp.co.jp]だけど、「ガラケーからケータイに乗り換え」だと話通じないよなぁ…

          親コメント
          • by Anonymous Coward

            元コメの使用目的なら、もう1台もスマホでも構わないということでしょう
            それなら、元コメのタイトルは何なんだ?!ということになるけど

  • by Anonymous Coward on 2022年07月01日 10時01分 (#4280706)

    玄関ドアをノックされても(耳が遠いので)気づかないことが多々あるので、
    「宅配業者の方はこの場から電話ください」みたいな貼り紙を貼ってある。
    インターホンつければいいのかも知らんが、電池切れに気づかないとかもありそう。

    • by k09 (29479) on 2022年07月01日 10時11分 (#4280708)
      その貼り紙に電話番号を書いておけばいいのでは?
      親コメント
    • by Anonymous Coward

      電池式のスマートドアベルを使ってみるのはいかがでしょうか?
      スマホに通知が来るし、映像も見られるし。
      電池切れもスマホで電池残量も管理出来ますし。

      • by Anonymous Coward

        ワイヤレスのドアチャイムで、ボタン側は電池不要のものがありますよ。
        鳴動側はAC電源だけど、ワイヤレスだから好きなところに置けます。

        • by Anonymous Coward

          うちそれ使ってる。
          押したときの運動エネルギーで発電するやつ。

          今は日本の会社でも取り扱ってるけど
          当時はアリエクで買うしかなかったなと。

          一つ目は設計不良ですぐにバネが戻らなくなったというオチも。

  • by Anonymous Coward on 2022年07月01日 10時16分 (#4280716)

    事象 : 送り状から電話番号が抜かれてフィッシングの被害を受ける
    対策 : 電話番号欄に「00-0000-0000」と入力するよう呼び掛ける

    何かズレてる。落札者から出品者への連絡フォームから電話番号欄を削除するか、
    入力された電話番号を出品者には教えないようにシステムを変更すればいいじゃん。

    #運送会社が電話番号を抜いてフィッシング業者に売る以外に、出品者が直接売ってる可能性もあるんだな。
    #ヤフオクって最低でも名前と住所は出品者に渡るんで、危ないと言えば危ない仕組みだ。
    #20年くらい先には「昔は直接出品者に名前と住所を渡してたんだぜ」「嘘だ」ってなりそうな気がする。

    • by Anonymous Coward on 2022年07月01日 10時57分 (#4280742)

      >落札者から出品者への連絡フォームから電話番号欄を削除するか、
      >入力された電話番号を出品者には教えないようにシステムを変更すればいいじゃん。

      そのようにシステムを変更した結果として伝票に書けなくなるから「どうしても書け」という場合は00-0000-0000と書けという話題なんだが。
      https://auctions.yahoo.co.jp/topic/notice/function/post_3324/ [yahoo.co.jp]

      親コメント
    • それはストーリーの説明が悪いです。

      ・電話番号を知られるとフィッシング被害のリスクがあるので、電話番号は非公開に(名前と住所のみ取引相手に通知)

      ・じゃあ、送り状の、受取人電話番号が必須の場合どうするのか、という疑問に「00-0000-0000を入れてください」という回答が出た、

      という流れなんで。この経緯まで理解すれば、全然本末転倒じゃないんですが、
      前者の方が問題の本質なのに「ヤフオク!、送り状の電話番号を「00-0000-0000」にするよう呼び掛け」ってタイトルはなんだかなあ、と。

      なお、匿名配送を使った場合は、ちゃんと運送会社には受取人の電話番号情報も伝わるので、
      受取人として電話連絡必須だと思う人は、匿名発送を指定すればいいかと。

      親コメント
  • by Anonymous Coward on 2022年07月01日 10時19分 (#4280721)

    どうりでこないだから間違い電話がいっぱいかかってくると思った、と困ってる人が居るに違いない

  • by Anonymous Coward on 2022年07月01日 10時25分 (#4280724)

    発送者? 配送業者? 発送状況確認等のサイトやメール?
    ヤフオク以外のサービスや他の配送業者ではどうなんだろう

    必要無ければ電話番号欄無くせば良さそうだけど
    配達通知サービスって住所だけで機能するのかなぁ?

    • by Anonymous Coward

      流出はしてないですね
      個別にアタックしてるようなので

  • by Anonymous Coward on 2022年07月01日 10時47分 (#4280736)

    匿名配送でいいじゃん

    • by Anonymous Coward

      とくめいじゃあ、とどくめぇ

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...