Yahoo! JAPAN IDの不正利用対策として、第三者による不正ログインを早期に察知できる「ログインアラート」機能を5月13日に提供を開始しました。
ログインアラートは、あらかじめ登録済みのメールアドレス宛にログインの事実を通知することで、身に覚えのないログインをいち早く察知することができる機能。PCや携帯電話などからYahoo! JAPANへのログインがあるたびに、通知先として登録したメールアドレスにアラートメールを送信し、ログインがあったことを通知する。
アラートメールで心当たりのないログインを発見した場合は、以降のログインをできなくするログインロックを実施することができる。ログインロックを設定すると、ログインロックを解除するまでは通常にログインできない状態となる。海外旅行などで長期間Yahoo! JAPANを利用する予定のない場合は、不正利用されないようにログインアラート設定画面から任意でログインロックをかけることもできる。
ログインロック後、再びログインできる状態に戻すには、ログインアラートに設定しているメールアドレスで解除用メール受信後、解除画面にアクセスし、パスワードを再設定する。
ヤフー、不正ログインを早期に察知できる「ログインアラート」機能を提供:モバイルチャンネル – CNET Japan
このサービスは非常に便利だな?と思う反面、あれ?何だか穴があるような……と思われた方はいませんか?私もそう感じたので、実際に設定して使ってみました。
■ ログインアラート設定方法
- 「登録情報」のページを表示
- 本人確認のためパスワードを入力
- 右サイドバーの「ログインアラート」をクリック
- 本人確認のためパスワードを入力
- 利用設定で「利用する」、通知先メールアドレスで登録済みのメールアドレスを選択(複数化)
- 「設定する」をクリック
以上で設定が完了。以降、Yahoo!IDにログインするたびに設定したメールアドレスに通知されます。
通常のログイン時にはアラートメールが送られますが、本人確認のためにパスワードを入力するだけの場合は送られないようです。
■ ログインロックの方法
- ログインされたことをお知らせするメールが送られてくる
- メール本文にロック用URL(有効期限14日間)が書かれているのでURLへアクセス。(PC、携帯電話両対応)
- WebページでYahoo!IDを入力し「ログインロックを設定する」をクリック
以上でログインがロックされます。次の解除をするまで通常のログイン操作ではログインできなくなります。
■ ログインロックを解除する方法
- Yahoo!IDにログインをする
- ログインロック状態である事をお知らせするページが表示される。「ログインロックを解除する」をクリック
- 「解除メールを送信する」をクリック
- 通知先メールアドレスにメールが送られるので、本文中のURLへアクセス。(有効期限1時間)
- 解除するYahoo!ID、現在のパスワード、新しいパスワード(2回)を入力し「パスワードを変更する」をクリック
これで完了です。「登録情報」が改ざんされていないか、「ログイン情報」に不正な記録が無いかを確認します。
以上が一通りの流れになるわけですが、以下の操作をされたらどうなるのか?が気になりました。「不正ログイン」をされているのでYahoo!IDとパスワードを不正者に知られていることが前提です。
- 不正にログインしてすぐに「ログインアラート」機能を停止されたら、メールのロック用URLは無効にならないか?
- 不正にログインして登録情報の「登録メールアドレス」を変更したらログインアラートの「通知先メールアドレス」も変更になってしまうのではないか?
- 不正にログインして登録情報の「登録メールアドレス」を変更したあとログインアラートの「通知先メールアドレス」を変更してしまったらどうなるのか?
- 不正にログインして登録情報の「登録メールアドレス」と「ログインパスワード」を変更してしまったらどうなるのか?
- 不正にログインして登録情報の「登録メールアドレス」と「ログインパスワード」と「郵便番号」を変更してしまったらどうなるのか?
一つ目は問題ありません。不正者にアラート機能をOFFにされてもメールのURLにアクセスすればちゃんとログインロックできます。(ただし有効期限内)
二つ目も問題ありません。登録情報のメールアドレスを変更してもログインアラートの通知先メールアドレスに影響(勝手に変わるようなこと)はありませんでした。
三つ目も問題ありません。当然変更された以降のログイン情報は通知されなくなりますが、一回目の不正ログイン時に送られてきたメールのURLは有効ですので、そのURLからロックが可能です。またドメインロック後に、「解除メールを送信する」するのですが、通知先メールアドレスが不正に変更されていてもドメインロックされたときのメールアドレスにも解除用のメールが送られます。これはよくできていますね。
四つ目も問題ありません。ログインロックを解除しようとすると、「現在のパスワード」が分からない(不正に変えられてるので一致しない)ので解除することはできませんが、「パスワード再設定」画面からYahoo!IDを入力し続けるをクリックすると本人確認で「生年月日」と「郵便番号」を入力し「秘密の質問」を答えれば新しいパスワードを設定すればログインロックを解除できます。
そして最後、五つ目。これで最後かと思ったらここで問題を発見。パスワードを不正に変えられているので四つ目と同じように「パスワード再設定」を利用しますが「郵便番号」を不正に変えられてしまっているので本人確認ができず先に進めないのです。これ自体は、今回のログインアラートの機能と直接関係ないのですが、登録情報で誰でも簡単に変えられるものを本人確認として利用するのは問題です。生年月日と秘密の質問はYahoo!IDの初期登録以外では変えられないのですが、郵便番号は簡単に変えられます。これは根本的な欠陥ですね。
最後の最後に問題を発見してしまいました。現在の状態では不正者に完全にアカウントを乗っ取られる危険性が残っています。Yahoo!には郵便番号を容易に変えられない仕様に変更するか、本人確認の方法を変更するなど早急に対応をしていただきたいと思います。
もちろん、ユーザー自身が、不正アクセスをされないようにログインパスワードを他のサイトで流用して使わない事やフィッシング詐欺に遭わないよう注意しなければいけませんね。
また余談ですが、生年月日はいいとして秘密の質問を初期登録から変えられないのはいかがなものかと思います……。「秘密の質問」の質問項目って「一番好きな映画は?」だとか「嫌いな食べ物は?」と言った普段の会話でも友人と話していそうなものがあります。Yahoo!メールを知らせている友人にひょっとしたら乗っ取られる危険性もあるわけです。友人だと生年月日、郵便番号も知っているでしょうし。せめて初期登録時に「一度設定すると変更できません」と書くべきでしょう。
ログインアラート自身はとてもよくできた仕組みでぜひ利用したいと思います。ただいろいろ調べてみるとYahoo!IDの根本的な仕様(ポリシー?)に問題があると感じました。
この点(本人確認の方法と、秘密の質問の件)については早急に対応をしていただきたいものです。