パスワードを忘れた? アカウント作成
8944368 journal
Yahoo!

yasuokaの日記: Yahoo! JAPANの「秘密の質問」がIDと共に流出 70

日記 by yasuoka

本日5月23日、Yahoo! JAPANは以下のプレスリリースをおこなった。

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID(Yahoo! JAPAN総ID数 約2億)のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

すなわち、「初恋の人の名前は?」とか「祖父の下の名前は?」とか「生まれた病院は?」などの、かなりハイリスクな情報が、Yahoo! JAPANのIDと共に漏れ出したわけだ。仮にYahoo! JAPANのIDから本人が特定できないとしても、たとえば初恋の人のフルネームを入れていたりすると、かなり恥ずかしい状況になっていることが予想される。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 簡単に思い出せて自分だけしか知らない情報なんてそうそう無いでしょうし。

  • by paprika (5024) on 2013年05月24日 17時55分 (#2387202) 日記

    パスワードは多数のサイトで使い回してる(←大丈夫か?)ので、滅多に忘れない。
    秘密の質問とその答えは、サイト毎にばらばらなので、ぜんぜん覚えられない。

    どうせ覚えられないなら、でたらめでぐちゃぐちゃな文字列を設定する。

    そうするとこうなる [twitter.com]。

    秘密の質問なんてなんのメリットもないので、世界的に絶滅して欲しい。

    • by Anonymous Coward on 2013年05月24日 20時49分 (#2387359)

      私の場合パスワードは文字数制限一杯なランダムな文字列(サイト毎に異なる)なのでメモがないとログインできません
      そのため秘密の質問は日本語OKなパスワードとして扱うことにしています。

      個人的に秘密の質問は愚かしい方法だと考えているのですが、最近やたらと採用しだしたサイトの多いこと
      1箇所だけならまだしも利用していた複数サイトがこぞって採用しだしてイラッとしました。
      イラッとした勢いで質問に対する答えではなく開発担当者への罵倒の言葉を設定するようになりました。
      「馬鹿が見る」みたいな。幼稚ですね私

      親コメント
    • by Anonymous Coward

      私はパスワードも秘密の質問も何かしらでメモります。
      覚えられるようなパスワードは信用ならないので、後はメモるしか無いと思っています。

      まあココのパスワード漏れてもごめんで済むし、重要なところのパスワードのメモは財布なのでクレカや免許書と一緒だし。

      ただ、この前、秘密の質問の質問の方をメモり忘れてた事が発覚。答えと質問に関連ないからこれは困った。

      • by Anonymous Coward on 2013年05月24日 18時33分 (#2387230)

        ただ、この前、秘密の質問の質問の方をメモり忘れてた事が発覚。答えと質問に関連ないからこれは困った。

        今回の件じゃまじめに質問の答え書いてた人は悲惨だな
        多くのサイトで秘密の質問も似たような物だろうし

        親コメント
    • by Anonymous Coward

      規約で虚偽の内容を登録することを禁じられるとどうしたものかと。

    • by Anonymous Coward

      パスワードは多数のサイトで使い回してる

      嘘でもこういう事はあんま言わん方がいいと思う。
      アカウントハックに目を付けられるリスクがあると思う。雉も鳴かずば。

  • by deleted user (13014) on 2013年05月24日 18時44分 (#2387245)

    この手の記事は slashdot.jp はいっぱい載りますが、slashdot.jp のサインイン機構は大丈夫でしょうか。管理が大変だろうから、はやく Facebook か Google のIDでサインインできるようにしたほうがいいと思う。

    • by Anonymous Coward

      本家/. だとFacebook, Google に加えて、twitter、LinkedIn, そしてOpenIDに対応してますね。
      その対応部分を移植すればいいのに。

      • by Anonymous Coward

        あなたがやればいいのに。

        #あるいは俺がry

    • by Anonymous Coward

      そしてFacebookやGoogleの情報漏洩で一網打尽になるんですね

  • いまんところ、「一般的にいってパスワードは変えた方がいいらしいよ(意訳) [srad.jp]」というメールが1通と、普通のDMがたくさん来てるけど、
    漏洩に関するメールが来ないのは、なんなんだろうなぁ・・・

  • by nemui4 (20313) on 2013年05月23日 22時41分 (#2386490) 日記

    それでも今回は500円天すらばら撒く気配もないけど、どうするんだろう。

    • by Anonymous Coward

      「IDだけです(キリッ」を鵜呑みにして安心していたバカはまさかいないよね。

  • by KuroButa (37060) on 2013年05月24日 17時53分 (#2387200) 日記

    かどうかはプレスリリースの中のリンクから調べることができ、私は対象ではないとの表示がされましたが、これは本当に信じて良いものか。
    とりあえずパスワードだけは変更しておきました。

    • Re:流出対象ID (スコア:4, 興味深い)

      by Anonymous Coward on 2013年05月24日 22時23分 (#2387418)

      >Yahoo! JAPAN ID : XXXXXXXXXXXXX
      >状況の結果:「B」
      >対象のYahoo! JAPAN IDです。
      >IDが不正アクセスされた可能性があります。念のため、パスワードの変更をお願いします。

      結果「B」がどういうものかの説明なし。
      ログイン履歴は50日以上前。日時とリモホから本人のアクセスで間違いない。

      ヤフー側が不正アクセス履歴を消したなら隠蔽だよね。
      ログイン失敗履歴が残らないなら不正アクセス「未遂」はわかんないなあ。
      プレリリースと報道では総当たりでID抽出+秘密の質問が漏れたとれるんだけど、
      ID/パスワード/秘密の質問は漏れたけど不正アクセスはなかったってこと?

      パスワード変更だけでなくID変更させてほしわ。

      親コメント
      • by Anonymous Coward

        B判定ってあったのか。
        私は複数所有しているアカウントのひとつがC判定でした。

        ちなみにA/B/C判定が付いたのは昨日じゃないカナ?カナ?
        ※模試の判定みたいでイヤだ(´・ω・`)

        別のアカウントで不正ログインの恐れがあるみたいな表記が出たことがあるので、さすがに隠蔽しないと思いますけどねぇ。

      • by Anonymous Coward

        Bカップ
        不正アクセスは無くても良いけどちょっとはあった方が良い
        そんな判定

    • by minet (45149) on 2013年05月24日 18時13分 (#2387211) 日記

      流出しているかを確認する暇があったら真っ先にパスワードを変えるのが得策ですね。
      私はそうしました。

      親コメント
      • by Anonymous Coward

        パスワードを変更しても、秘密の質問でパスワード自体をもう一度変更されてしまう。

        • by Anonymous Coward

          また変えればいいさ
          ってか変えるしかない。

          • by Anonymous Coward on 2013年05月24日 19時39分 (#2387296)

            でも秘密の質問は変更出来ない

            親コメント
            • by Anonymous Coward

              秘密の質問機能でのリセット機能はすでに止まってますよ。
              なので、今パスワードを変えることは無駄じゃないです。
              もうこのまま、秘密の質問が復活しなきゃいいのに。

      • by Anonymous Coward

        アカウントを削除して作り直したほうがいい。

  • by Anonymous Coward on 2013年05月24日 18時35分 (#2387234)

    このYahoo!JAPAN IDのアカウントを持っていて
    かつこういった事件になりましたってプレスリリースのような連絡を
    「ユーザである自分宛に」メールなりで貰った方はいるんですかね?
    ニュースチェックの端に引っかかった人がたまたま知ることができただけで、
    ユーザにはまったく知らされていないのではないでしょうか...。

    • by Mr. Hankey (5779) on 2013年05月25日 13時28分 (#2387665)

      ID流出対象と判定されましたが、メールなんて未だに来てませんよ。
      ヤフオクアラートメールとかつい最近もGmailで受け取っていたので、
      Yahoo! Japan側はそれなりにメール到達可能と判断できるはずですけどね。
      ID流出時点で、メールアドレス以外の登録内容をでたらめに変更した後にアカウント削除したので、
      秘密の質問と答えが漏れた対象なのか判別する手段がない。
      アカウント削除しても登録情報は暫く履歴として残すそうなので、
      まともな運用してるんなら、メールぐらいくれてもいいと思うんですけどね。

      親コメント
  • by Anonymous Coward on 2013年05月24日 19時20分 (#2387279)

    なんでパスワードはハッシュしてあったのに「秘密の答え」はハッシュしてなかったんでしょうね?

    # 中の人が見て楽しむためじゃあるまいし

    • by minet (45149) on 2013年05月24日 19時40分 (#2387298) 日記

      暗号化どころか平文?
      好意的に解釈するなら、表記揺れに対応できるようにした/するつもりだった、とか。

      まあ、秘密の質問を再設定できないってあたり、
      思慮不足なだけかも。

      親コメント
    • by Anonymous Coward

      あらハッシュ化されてなかったんですか。
      「質問」は可逆としても、「答え」をハッシュ化してないのはまずいですね。

  • by Anonymous Coward on 2013年05月25日 11時02分 (#2387623)

    iCloudでは秘密の質問は単なる第二パスワードに過ぎなくなっている。

    アカウント上の変更とかするときは、3つ登録した質問の内、2つに必ず
    答えないと先に進まない。

    年中使っていたら、強度が落ちる様に思います。早くワンタイムにして
    ほしいです。

  • by Anonymous Coward on 2013年05月24日 18時21分 (#2387216)

    これと関連あるのかな?時期的に完全に一致するんだが

    • by Anonymous Coward

      自分も対象IDでしたが、スパムは来てませんね。
      迷惑メールフィルターはオフにしているので間違いないと思います。
      PCと携帯で違ったりするのかな?

    • by Anonymous Coward

      Facebook アカウントを狙ってるとかどうとかいう噂もチラホラ。

      #自分がアクセスしてないのにもかかわらず「アクセスしてエラー出ました」というE-mailならうちにも来た。

  • by Anonymous Coward on 2013年05月24日 18時45分 (#2387249)

    この世から消えて無くなれ

  • by Anonymous Coward on 2013年05月24日 19時23分 (#2387282)

    > すなわち、「初恋の人の名前は?」とか「祖父の下の名前は?」とか「生まれた病院は?」などの、かなりハイリスクな情報

    質問内容のほうも、ユーザーが登録できるようにすれば、
    こんな低レベルの質問でセキュリティホールを作ってしまうことが少なくなる。

    #他人が調べられる[秘密の質問]が多すぎる

    • by Anonymous Coward on 2013年05月24日 19時48分 (#2387308)
      >質問内容のほうも、ユーザーが登録できるようにすれば、

      「あなたしか知らない秘密を入力してください」
      とか聞かれたら絶対いやだw
      親コメント
      • by Anonymous Coward

        まあ、それが、パスワードなんだけどね。

    • by Anonymous Coward on 2013年05月24日 22時13分 (#2387413)

      そうすると「あなたの名前は?」とかいう質問を考えちゃうんですよ。
      ユーザーは想定を超えるバカだと想定すべきです。

      親コメント
    • by Anonymous Coward

      そもそも秘密の質問がいらない
      普通にメールに再発行URL送ってくれればいいわけだし

  • by Anonymous Coward on 2013年05月24日 19時41分 (#2387301)

    パスワードが流出 ってタイトルにしないと

  • by Anonymous Coward on 2013年05月24日 21時02分 (#2387367)

    ここのメールのログインはCookieが空の状態でログインすると文字認証を求められるのですが、
    入力しないでブラウザを一旦閉じてまた開いてログインすると普通にログイン出来ちゃうんですよね。
    簡単に文字認証を回避できてしまうので、これだと文字認証を噛ます意味があまり無いような・・・

    ここのシステムがそんなですので今回の流出もYahoo側に落ち度は無かったのかなーとチラッと思ったり。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...