電話番号がわかるとYahoo!が危ない?

ちょっと話題になっていたのだけど。

取引相手の情報表示の仕様変更について (ヤフオク)

従来、匿名配送以外の場合に表示されていた、出品者・落札者の電話番号が非表示になるということ。

どうしても電話番号の記載が必要な場合は、メッセージで別途聞くなどの対応ができるが、

宅急便・ゆうパックでは電話番号の記載は任意なので、問題ないのではとのこと。

ヤマト運輸の一部のシステム(法人向け)では電話番号を記載しないと送れないが、

仮に00-0000-0000とでも登録すれば進めるので問題はないのではとのこと。


まぁスムーズな配達を考えると電話番号書いた方がよいとは思うし、

前に住んでいた社宅みたいに、電話番号がないと不便だということであれば、

落札者側から伝達して書いてもらうということも可能だろう。

書留でも電話番号があると呼び出してもらえた

これはオークションで購入した商品を簡易書留で送ってもらったときの話で、

書留で電話番号を記載していることは少ないが、任意で記載することは可能で、

どうしても記載して欲しいと依頼して対応してもらったと。


それにしてもなぜこんなことになったのか。

原因はYahoo!のパスワード無効化時のログイン方式にある。

【再掲】弊社サービスや宅配業者を装う偽SMSや電話にご注意ください (ヤフオク)

現在のYahoo!の推奨のログイン方式はパスワードを使わず、

携帯電話回線と紐付けた上でパスワード無効化することを推奨している。

SoftBank回線を使っている場合は電話回線を使った認証が出来たり、

あるいは登録した端末であれば、FIDOによる生体認証という方法がある。

しかし、それにあたらない場合はSMS認証に頼っているのが実情である。

PCでは時々SMS認証が要求されるし、スマートフォン・タブレットでもFIDOと連携できないアプリではSMS認証だし、FIDO登録の前にはSMS認証がある。


もちろん、それでもSMSに書かれている確認コードをYahoo!以外に入力しなければ問題ない。

ただ「配送業者を装うなどしてSMS認証コードを巧妙に聞き出し、Yahoo! JAPAN IDを乗っ取る手口が発生」というのが実情だという。

おそらくこういう話があるのは、運送会社が電話番号を使って配送時刻の指定や配送状況の通知を行うことが増えているというのもあるんだと思う。

確かに運送業者自身がSMS認証を要求してくるケースは覚えがないけど、

運送会社も使っている「LINE通知メッセージ」を受け取るには、電話番号のSMS認証が要求されるというようなことはある。(SMS認証の主体はLINE)

利用者の錯誤により、本来Yahoo!以外のサイトに入力してはいけないYahoo!の確認コードを他人に教えるということが実際に起きているのは確か。

そこに利用者の落ち度があることは確かだが、被害軽減のためにはやむなしとのことか。


このような問題はヤフオク以外にもあるかもしれないが、

ログインに必要なIDまたは電話番号が入手できることが多いこと。

その上、電話番号があれば運送業者へのなりすましがやりやすいことがある。

Yahoo!のログインには、ID・携帯電話番号・メールアドレスが使える。

まず、IDは原則公開の文字列で、ヤフオク出品者・落札者のIDは公開される。

ただし、シークレットID機能によりログインに使うIDは別のものにすることはできる。

電話番号は回線認証を使っている人の場合はログインに使える。

メールアドレスはあえて登録した場合のみ使える。

ヤフオクでの落札者・出品者の関係においては、IDと電話番号が問題で、

いずれにせよシークレットIDの設定をすれば問題はないと思うが、使っている人はあまり多くないと思う。


こういう話、わりと最近にあったようなと思ったらSBI証券だ。

他の証券会社ではIDをユーザーが自由に決めることが出来ないので、

他サービスから流出したID・パスワードを単純に適用できないので、そこに困難さがあるが、

SBI証券ではユーザーが任意にIDを決められるため狙われたのではないかということである。

(SBI証券が狙われたわけ)

もっとも問題だったのはログインパスワードと取引用パスワードを分離しているにもかかわらず、同じ内容を設定している人がいたことが問題である。

ただ、他の証券会社ではログインに行きつくまでに困難があって、

なぜならばログインIDが割りあてられた数字だったり、GMOクリック証券ではIDの末尾2文字は自分では決められないなど、他のIDと一致しないことが多いのである。


他人から知れるIDであることが本質的にダメなわけではないと思うが、

IDがわからなければログインに行きつくこともできないので、

まずはここを公開されているIDや、公開されうる電話番号を使うのをやめるというのは意味があることだと思う。

その上で一番重要なのはパスワードであったり、認証コードを漏らさないということになると思う。

これらのデータを手入力するということがなくなればいいんですけど、

現実的には難しい面もあり、そこに付けいる隙があるのが実情である。


パスワードとSMS認証の2要素認証にするというのも考えられるけど、

そもそもパスワードを無効化するのはパスワードを忘れることへの懸念もある。

パスワードを付けたとしても、使い回しや忘れたときのことを考えればあまり効果は無いというのも判断としてあったんだと思う。

今回のようなケースならないよりはマシでは? とも思いますけど、どうでしょうね。


とりあえずシークレットIDの設定はしておいた。

これでログインへの到達が難しくなることは確かなので。

ワークアラウンドもちゃんとあるので、どうしても忘れたときはなんとかなる。

まぁログインできる端末が残ってればそういう心配も無いんだけど。

あと今までできなかったPCでのFIDO設定ができるようになってたのでやっておいた。

今後はPCでSMS認証が要求されることは大きく減るということである。

利便性も高くなるし、SMS認証の頻度が減れば、錯誤により確認コードを漏らしてしまう可能性も経るんじゃないか。