ヤフーの100万件以上のパスワードと秘密の質問漏れが激烈にヤバい  このエントリーをはてなブックマークに追加

ヤフーに不正アクセス ID2000万件超流出か - MSN産経ニュース
http://sankei.jp.msn.com/affairs/news/130517/crm13051723500023-n1.htm

ヤフーに不正アクセス、最大2200万件のIDが流出か?……パスワードは含まれず | RBB TODAY
http://www.rbbtoday.com/article/2013/05/18/108098.html


5/17に、ソフトバンク100%子会社でお馴染みヤフーが、Yahoo! ID約2200万件を「流出は確認出来てないけどデータの転送量的に漏れたかもしれないけど良くわかんない」というアホの子みたいな言い回しで、結局のところガッツリ流出させていた事を発表。
しかも「IDだけだから安全!安心!問題なんて何も無いよ!」と断言していたくせに、約1週間も経った23日に「ごっめーん、148万件のパスワードと秘密の質問も漏れてたかもしれない、でもこれも良くわかんない!てへっ!」と、頭のおかしい言い回しで、やっぱりガッツリ流出させていた事を発表。

ヤフー、流出した「Yahoo! JAPAN ID」2,200万件のうち148万件はパスワードと「秘密の質問」も - インターネットコム
http://japan.internet.com/webtech/20130524/1.html

ヤフー、サーバ不正アクセスで暗号化パスワードも流出か……148万6000件が該当 | RBB TODAY
http://www.rbbtoday.com/article/2013/05/24/108368.html


1週間も経ってから、というところにヤフーらしい隠蔽体質が爆速で見えたわけですが。

で、これを受けて対象者のパスワードと秘密の質問を次の日早朝にリセットする事を発表し、さらに「いやー、パスワードは暗号化されてるし、生年月日わからないと秘密の質問だけじゃパスワードはバレねぇから安全安心」と訳の分からない供述を爆速で行いました。
ならリセットする必要を感じないのですが、リセットしたという事は安全ではないという事ですよね。
さらに発表時点でリセットしないあたりが実に爆速です。


という事で、これを受けて複数のニュースサイトやブログにて「パスワードと秘密の質問が漏れたとか非常に危険だろバカかヤフー」と厳しい指摘が入りました。
またそれ以外にもリスクが多々ありますので、この記事でガッツリ指摘したいと思います。
--

スポンサードリンク


--
Yahoo!のパスワード流出、実は「他サイトが危険」? : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130524-OYT8T00882.htm


パスワードは暗号化された状態で漏れたようですが、秘密の質問と回答は平文で漏れたようです。
まあ、この報告すら怪しいですが。だってソフトバンク子会社だし。会長は孫正義だし。
で、その暗号化ですが暗号鍵を総当たりすればいずれデコード出来ちゃうんですよね。
つまり、暗号化など時間稼ぎにしかなってないって事で、暗号化してようが安全なんて事はありません。
放射脳な皆さん、ヤフーが安全デマを撒いています。出番ですよ。

もうこの時点でユーザー本位でない隠蔽体質が爆速で露呈しているのですが、まあ続けましょう。
つまり暗号化もクソも無く、IDとパスワードと秘密の質問がセットでバレた状態なわけで、もう全力でアウトです。ヤフーは相変わらず危険であるという事実を一切認めていませんが。

そしてこれによる影響はとんでもなく大きいわけです。
つまり、例えヤフーがパスワードリセットを行おうが、ヤフー以外のサイトに不正ログインされてしまう危険性が極めて高いという事ですね。
同じアカウント名とパスワード、秘密の質問と答えを利用していたら即終了。

特にGoogleアカウントにログインされてしまうと致命的です。
普段使うメールアドレスやGmailアドレスがわかってしまいますし、Googleウォレット利用してたらそこから住所や本名割り出されたり、メールアドレスを元にFacebookにログインされると学歴や生年月日、友人関係まで完全にバレますし、ここから様々な「秘密の質問の答え」がバレます。ペットの名前とか好きな映画とか音楽とかもバレる可能性大ですね。
こうなると、もはや秘密の質問と回答に何を設定してもパスワードがバレる状態になりますね。ヤフーにもログイン出来るようになってしまいます。

さらにアマゾンや楽天などのショッピングモールのアカウントにログインされてしまうと、クレジットカードを登録していた場合不正注文されてしまう可能性もあります。楽天は必要事項を入力しないとダメだった気がするけど。
さらにネット口座にログインされる危険性もあります。
楽天銀行(旧イーバンク銀行)も、ヤフー名指しではないですがこの漏れ漏れ事件の直後に不正ログインを懸念するメールを利用者に送りましたし。
またブログを乗っ取られる可能性もあり、そこからウイルスを仕込まれたりするかも知れません。

このように、ヤフー以外のサイトにログインされてしまうと影響がとんでもなく大きいわけで、今回の流出でその危険性が非常に高い状態となっています。
一旦どこかにログインされると連鎖的にダメージを受けてしまいますから。
もしかしたら、もうそろそろ被害が出てるかも知れませんね。
で、ヤフーはこの事実を一切認めず周知などしていませんし、パスワードと秘密の質問が流出していた事を公表したのは、ID流出を公表してから何と6日も後です。


また、そうでなくても2200万(公表値、本当かどうか知らん)もの流出があったYahoo! ID、これがバレる事によるリスクもあります。
Yahoo! IDがバレるという事は、掲示板の書き込みやブログ、ヤフオクの出品落札履歴まで全部バレてしまうという事。
ソフトバンク信者のアホであるソフトバンクいちろーを見ればわかりますが、ichiro910というIDがバレてしまったために(※バレた経緯は、TwitterIDでググるとauを誹謗中傷したカスブログが引っ掛かる→ブログ名でググるとほとんどが広告で埋まってる気持ち悪いサイトを運営してた事がバレる→さらに検索すると同名のブログが複数出現→ヤフーブログが引っ掛かりIDバレ、だったかな?)、ヤフオクで株主優待券やレトロゲームを売ってたり、株で失敗して掲示板でキレてたりといった事が全部バレてしまいました。興味がある人はググってみよう!

あとカスみたいな機能しか持たず、メールの消失遅延がデフォルトで、スパムメール来放題なYahoo!メールのアドレスもバレる事になるため(IDと別名にする事も可能だけど)、個人情報が丸わかりな状態だとフィッシングし放題です。
ここまでの事態が爆速で起こる可能性があるわけですが、皆さん何をのんびりまったりしてるんですか?


また、徳丸浩さんはヤフーの「秘密の質問」の仕様がセキュリティ甘々で危険だと、以前からヤフーに対して通知していたものの無視されていたようです。

ヤフー株式会社様に「秘密の質問と回答」に関して要望します | 徳丸浩の日記
http://blog.tokumaru.org/2013/05/blog-post_24.html


ヤフーは秘密の質問の設定を強制してきていましたので(この時点でバカじゃねぇのかと)、大多数の人が秘密の質問を登録しているはずです。
現在はワンタイムパスワードの設定を行う場合のみ強制のようです。間違ってたらゴメン。

で、パスワード再設定の際に秘密の質問を利用する時は、まず生年月日の入力が必要となります。
この仕様のためか、ヤフーは「安全安心~」とヘラヘラしています。
しかし、IDバレしてるのに、そこから色々辿っていけば生年月日なんぞバレる可能性大です。
つまり今回、秘密の質問と回答は平文でIDとセットで流出しているため、即座に不正ログインされる可能性大ですね。
というか流出してなくても、その当人と知り合いなら生年月日もわかるわけで、後は秘密の質問次第では超簡単にパスワード再設定してログイン出来ますね。死ねって感じですね。

この糞仕様について徳丸さんは半年前にヤフーに指摘しており、ヤフーは「把握していてシステム変更を検討している」と返答してきたにも関わらず、半年経っても何も変わっていませんでした。爆速ですねぇ。
それどころか、今回の流出を受けてヤフーは、秘密の質問をリセットしてそれで済んだと思っているのか爆速で秘密の質問方式でのパスワード再設定を再開しました。

そのままの仕様で。

もし再度漏れたとすれば、ユーザーはまた同じ不正ログインの高いリスクに晒されますし、そうでなくても簡単にパスワード変更され不正ログインされる可能性がかなり高いです。
まあ間違いなく爆速で再度漏れるでしょうし、何か5/27にヤフオクが別口でIDとメールアドレス漏らしたそうですし、もう危険が危なくて危機的状況です。

ヤフー IDとアドレスを誤送信 NHKニュース
http://www3.nhk.or.jp/news/html/20130527/k10014875251000.html

「ヤフオク!」、他ユーザーのIDやメールアドレスリストを誤送信 | RBB TODAY
http://www.rbbtoday.com/article/2013/05/27/108427.html

ヤフーは27日、一部ユーザーに対し、他ユーザーのIDやメールアドレスリストを誤送信してしまう事故が、5月25日21時頃に発生したことを公表した。

「ヤフオク!」ユーザー最大835名に対し、1427名分の「Yahoo! JAPAN ID」と「メールアドレス」を組み合わせたリストをメールで送信したとのこと。このメールアドレスリストは、「ヤフオク!」上の一部ストア(出店者)からのメールマガジンを受け取るためにユーザーが登録したメールアドレスのリストで、添付ファイルではなく、本文として送られた。

メールマガジンを送信するための社内作業の最中に、担当者がオペレーションを誤ったのが原因とのこと。

ヤフーでは、メールアドレスリストの該当者に個別に連絡を行い謝罪するとともに、届いたメールの削除を依頼したとしている。また現在も送信状況については、調査中だとしている。なお先日発生したYahoo! JAPANに対する不正アクセスとは無関係とのこと。


これもまた発表が発生の2日後。実に爆速ですねぇ。

さらに、この秘密の質問の問題がID漏れ事件のすぐ後に露呈しました。

不正アクセスで県内中学生を摘発 容疑で県警、同級生のメール盗み見 事件・事故 福井のニュース :福井新聞
http://www.fukuishimbun.co.jp/localnews/accidentandincident/43363.html

 福井県警生活環境課サイバー犯罪対策室と福井署、越前署の合同捜査班は18日、同級生のIDでヤフーサイトにアクセスしメールを盗み見したとして、不正アクセス禁止法違反と私電磁的記録不正作出・同供用の疑いで、県内の中学3年の男子生徒(14)を書類送検した。同課によると、同法違反容疑による県内中学生の摘発は初めて。

 送検容疑は3月13~15日の間、同級生になりすまし、ヤフーのパスワードを忘れたときに変更できる「救済機能」を利用、8回にわたり不正にアクセスした疑い。

 同課によると、同級生との間には当時トラブルがあり、男子生徒は「自分の悪口をメールに書いているのではないか」と考え、盗み見たという。

 男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、合致しパスワードを変更した。

 ログインできなくなった同級生がパスワードを変更し直したが、男子生徒は再びパスワードを変更したという。同級生が「身に覚えのないログインがある」と警察に相談し、容疑が明らかになった。


まさに徳丸さんの指摘通りの事件が起き、中学生が書類送検される事態に。
こちらの件も徳丸さんがブログでまとめられています。

徳丸浩の日記: Yahoo!ジャパンの「秘密の質問と答え」に関する注意喚起
http://blog.tokumaru.org/2013/06/yahoo.html

--

という事で、ヤフーのせいでユーザーはとんでもないリスクを背負ってしまっているわけです。
今回はIDと秘密の質問と回答が漏れましたが、これ以外にもソフトバンクが携帯やら何やらを契約する際に強制するオプションであるYahooプレミアムに加入すると、何故か携帯番号でログイン出来るようになってしまうという恐ろしい仕様であるため、ソフトバンクモバイルユーザーは携帯番号が漏れる可能性も考慮しなければいけません。

これらを回避するにはYahooIDを削除するのが手っ取り早いですが(それで本当にアカウント情報が消えるなら、ですが。)、ヤフオクやショッピングなどを利用してるとなかなかねぇ・・・
まあ他でもサイバー攻撃食らう例が目立って来ましたので、IDとパスワードは使い回さないようにするしか自衛方法は無いのかなというところです。

・・・えっと、ところでこのサイバー攻撃って主に中国から行われてるはずなのですが、ソフトバンクって基地局などを中国企業のファーウェイやZTEを利用してますよね?
アメリカの携帯電話事業者Sprint買収にあたって、アメリカが懸念してるのは中国からのサイバー攻撃ですよね?

本当に、ソフトバンクってゴミ企業ですね。
関連記事
スポンサードリンク  
 
このエントリーをはてなブックマークに追加  にほんブログ村 携帯ブログへ


テーマ : 許されない出来事
ジャンル : ニュース

Twitter
no_softbankをフォローしましょう
ふぉろみー。
最新記事
amazon
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク