Yahoo! JAPANの「秘密の質問」がIDと共に流出 70
ストーリー by hylom
ある意味プライバシー漏洩 部門より
ある意味プライバシー漏洩 部門より
yasuoka 曰く、
本日5月23日、Yahoo! JAPANは以下のプレスリリースをおこなった。
5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。
すなわち、「初恋の人の名前は?」とか「祖父の下の名前は?」とか「生まれた病院は?」などの、かなりハイリスクな情報が、Yahoo! JAPANのIDと共に漏れ出したわけだ。仮にYahoo! JAPANのIDから本人が特定できないとしても、たとえば初恋の人のフルネームを入れていたりすると、かなり恥ずかしい状況になっていることが予想される。
秘密の質問システムは世の中からなくなってほしいですね (スコア:5, すばらしい洞察)
簡単に思い出せて自分だけしか知らない情報なんてそうそう無いでしょうし。
Re:秘密の質問システムは世の中からなくなってほしいですね (スコア:2, 参考になる)
作成できる質問も、そんなに種類があるわけじゃないですよね。
母親の旧姓は?とか、昔飼ってたペットの名前は?とか。
パスワードはランダムにいくらでも作れるけど、秘密の質問の種類は有限ということが問題な気がしてきました。
秘密の質問が同じなら、答は各サービスで共通なわけで、それこそパスワードを各サービスで使いまわすのと同じことになってしまう。
Re:秘密の質問システムは世の中からなくなってほしいですね (スコア:1)
自分以外も知っていて、忘れたい黒歴史ならあるのに。
Re: (スコア:0)
F9wfdQoR8ZFw
使わない (スコア:2)
パスワードは多数のサイトで使い回してる(←大丈夫か?)ので、滅多に忘れない。
秘密の質問とその答えは、サイト毎にばらばらなので、ぜんぜん覚えられない。
どうせ覚えられないなら、でたらめでぐちゃぐちゃな文字列を設定する。
そうするとこうなる [twitter.com]。
秘密の質問なんてなんのメリットもないので、世界的に絶滅して欲しい。
Re:使わない (スコア:1)
私の場合パスワードは文字数制限一杯なランダムな文字列(サイト毎に異なる)なのでメモがないとログインできません
そのため秘密の質問は日本語OKなパスワードとして扱うことにしています。
個人的に秘密の質問は愚かしい方法だと考えているのですが、最近やたらと採用しだしたサイトの多いこと
1箇所だけならまだしも利用していた複数サイトがこぞって採用しだしてイラッとしました。
イラッとした勢いで質問に対する答えではなく開発担当者への罵倒の言葉を設定するようになりました。
「馬鹿が見る」みたいな。幼稚ですね私
Re: (スコア:0)
私はパスワードも秘密の質問も何かしらでメモります。
覚えられるようなパスワードは信用ならないので、後はメモるしか無いと思っています。
まあココのパスワード漏れてもごめんで済むし、重要なところのパスワードのメモは財布なのでクレカや免許書と一緒だし。
ただ、この前、秘密の質問の質問の方をメモり忘れてた事が発覚。答えと質問に関連ないからこれは困った。
Re:使わない (スコア:1)
ただ、この前、秘密の質問の質問の方をメモり忘れてた事が発覚。答えと質問に関連ないからこれは困った。
今回の件じゃまじめに質問の答え書いてた人は悲惨だな
多くのサイトで秘密の質問も似たような物だろうし
Re: (スコア:0)
規約で虚偽の内容を登録することを禁じられるとどうしたものかと。
Re:使わない (スコア:1)
答えなければ虚偽ではない。
祖父の名前は?: 「そんな事聞いてどうするつもりですか?」
Re: (スコア:0)
パスワードは多数のサイトで使い回してる
嘘でもこういう事はあんま言わん方がいいと思う。
アカウントハックに目を付けられるリスクがあると思う。雉も鳴かずば。
Re:使わない (スコア:1)
記号を要求するサイトでは最後に!をつければいいんですよ。申し訳程度に。
アウトソーシング (スコア:2)
この手の記事は slashdot.jp はいっぱい載りますが、slashdot.jp のサインイン機構は大丈夫でしょうか。管理が大変だろうから、はやく Facebook か Google のIDでサインインできるようにしたほうがいいと思う。
Re: (スコア:0)
本家/. だとFacebook, Google に加えて、twitter、LinkedIn, そしてOpenIDに対応してますね。
その対応部分を移植すればいいのに。
Re: (スコア:0)
あなたがやればいいのに。
#あるいは俺がry
Re: (スコア:0)
そしてFacebookやGoogleの情報漏洩で一網打尽になるんですね
Re:アウトソーシング (スコア:1)
とはいえ、どちらも2要素認証有効にできるから、強固にすることは可能だと思うが
# つかパスワードオンリーでも、パスワードマネージャ利用前提でランダム40字くらいにできれば、普通のハッシュのみでも突き止めが厳しいと思う...
M-FalconSky (暑いか寒い)
ユーザにお知らせをメールで出さないんだろうか? (スコア:2)
いまんところ、「一般的にいってパスワードは変えた方がいいらしいよ(意訳) [srad.jp]」というメールが1通と、普通のDMがたくさん来てるけど、
漏洩に関するメールが来ないのは、なんなんだろうなぁ・・・
サイアク (スコア:1)
それでも今回は500円天すらばら撒く気配もないけど、どうするんだろう。
Re: (スコア:0)
「IDだけです(キリッ」を鵜呑みにして安心していたバカはまさかいないよね。
流出対象ID (スコア:1)
かどうかはプレスリリースの中のリンクから調べることができ、私は対象ではないとの表示がされましたが、これは本当に信じて良いものか。
とりあえずパスワードだけは変更しておきました。
Re:流出対象ID (スコア:4, 興味深い)
>Yahoo! JAPAN ID : XXXXXXXXXXXXX
>状況の結果:「B」
>対象のYahoo! JAPAN IDです。
>IDが不正アクセスされた可能性があります。念のため、パスワードの変更をお願いします。
結果「B」がどういうものかの説明なし。
ログイン履歴は50日以上前。日時とリモホから本人のアクセスで間違いない。
ヤフー側が不正アクセス履歴を消したなら隠蔽だよね。
ログイン失敗履歴が残らないなら不正アクセス「未遂」はわかんないなあ。
プレリリースと報道では総当たりでID抽出+秘密の質問が漏れたとれるんだけど、
ID/パスワード/秘密の質問は漏れたけど不正アクセスはなかったってこと?
パスワード変更だけでなくID変更させてほしわ。
Re:流出対象ID (スコア:1)
http://docs.id.yahoo.co.jp/confirmation_help.html [yahoo.co.jp]
Re: (スコア:0)
B判定ってあったのか。
私は複数所有しているアカウントのひとつがC判定でした。
ちなみにA/B/C判定が付いたのは昨日じゃないカナ?カナ?
※模試の判定みたいでイヤだ(´・ω・`)
別のアカウントで不正ログインの恐れがあるみたいな表記が出たことがあるので、さすがに隠蔽しないと思いますけどねぇ。
Re: (スコア:0)
Bカップ
不正アクセスは無くても良いけどちょっとはあった方が良い
そんな判定
Re:流出対象ID (スコア:2)
流出しているかを確認する暇があったら真っ先にパスワードを変えるのが得策ですね。
私はそうしました。
Re: (スコア:0)
パスワードを変更しても、秘密の質問でパスワード自体をもう一度変更されてしまう。
Re: (スコア:0)
また変えればいいさ
ってか変えるしかない。
Re:流出対象ID (スコア:1)
でも秘密の質問は変更出来ない
Re: (スコア:0)
秘密の質問機能でのリセット機能はすでに止まってますよ。
なので、今パスワードを変えることは無駄じゃないです。
もうこのまま、秘密の質問が復活しなきゃいいのに。
Re: (スコア:0)
http://blog.tokumaru.org/2013/05/blog-post_24.html [tokumaru.org]
ここまでやられちゃったら何も対策しないで復活というのはさすがにないでしょう…ないと思いたい…ないといいな
Re: (スコア:0)
アカウントを削除して作り直したほうがいい。
Re:流出対象ID (スコア:1)
アカウントを削除してそのまま二度と作らないほうがいい。
未報告案件 (スコア:1)
このYahoo!JAPAN IDのアカウントを持っていて
かつこういった事件になりましたってプレスリリースのような連絡を
「ユーザである自分宛に」メールなりで貰った方はいるんですかね?
ニュースチェックの端に引っかかった人がたまたま知ることができただけで、
ユーザにはまったく知らされていないのではないでしょうか...。
Re:未報告案件 (スコア:1)
ID流出対象と判定されましたが、メールなんて未だに来てませんよ。
ヤフオクアラートメールとかつい最近もGmailで受け取っていたので、
Yahoo! Japan側はそれなりにメール到達可能と判断できるはずですけどね。
ID流出時点で、メールアドレス以外の登録内容をでたらめに変更した後にアカウント削除したので、
秘密の質問と答えが漏れた対象なのか判別する手段がない。
アカウント削除しても登録情報は暫く履歴として残すそうなので、
まともな運用してるんなら、メールぐらいくれてもいいと思うんですけどね。
不可逆暗号化 (スコア:1)
なんでパスワードはハッシュしてあったのに「秘密の答え」はハッシュしてなかったんでしょうね?
# 中の人が見て楽しむためじゃあるまいし
Re:不可逆暗号化 (スコア:1)
暗号化どころか平文?
好意的に解釈するなら、表記揺れに対応できるようにした/するつもりだった、とか。
まあ、秘密の質問を再設定できないってあたり、
思慮不足なだけかも。
Re: (スコア:0)
あらハッシュ化されてなかったんですか。
「質問」は可逆としても、「答え」をハッシュ化してないのはまずいですね。
iCloud (スコア:1)
iCloudでは秘密の質問は単なる第二パスワードに過ぎなくなっている。
アカウント上の変更とかするときは、3つ登録した質問の内、2つに必ず
答えないと先に進まない。
年中使っていたら、強度が落ちる様に思います。早くワンタイムにして
ほしいです。
最近携帯にスパムが飛んでくる (スコア:0)
これと関連あるのかな?時期的に完全に一致するんだが
Re: (スコア:0)
自分も対象IDでしたが、スパムは来てませんね。
迷惑メールフィルターはオフにしているので間違いないと思います。
PCと携帯で違ったりするのかな?
Re: (スコア:0)
Facebook アカウントを狙ってるとかどうとかいう噂もチラホラ。
#自分がアクセスしてないのにもかかわらず「アクセスしてエラー出ました」というE-mailならうちにも来た。
秘密の質問=開け放しの勝手口 (スコア:0, すばらしい洞察)
この世から消えて無くなれ
なぜ改善されない (スコア:0)
> すなわち、「初恋の人の名前は?」とか「祖父の下の名前は?」とか「生まれた病院は?」などの、かなりハイリスクな情報
質問内容のほうも、ユーザーが登録できるようにすれば、
こんな低レベルの質問でセキュリティホールを作ってしまうことが少なくなる。
#他人が調べられる[秘密の質問]が多すぎる
Re:なぜ改善されない (スコア:1)
「あなたしか知らない秘密を入力してください」
とか聞かれたら絶対いやだw
Re: (スコア:0)
まあ、それが、パスワードなんだけどね。
Re:なぜ改善されない (スコア:1)
そうすると「あなたの名前は?」とかいう質問を考えちゃうんですよ。
ユーザーは想定を超えるバカだと想定すべきです。
Re: (スコア:0)
そもそも秘密の質問がいらない
普通にメールに再発行URL送ってくれればいいわけだし
タイトルがおかしい (スコア:0)
パスワードが流出 ってタイトルにしないと
そういえば (スコア:0)
ここのメールのログインはCookieが空の状態でログインすると文字認証を求められるのですが、
入力しないでブラウザを一旦閉じてまた開いてログインすると普通にログイン出来ちゃうんですよね。
簡単に文字認証を回避できてしまうので、これだと文字認証を噛ます意味があまり無いような・・・
ここのシステムがそんなですので今回の流出もYahoo側に落ち度は無かったのかなーとチラッと思ったり。