Yahoo!流出事件での「パスワード・秘密の質問と答え」再設定画面


【5月25日23時追記】秘密の質問と答でのリセット再開と、流出確認サイトを追加しました。

2013年5月に起きたYahoo!Japanでのパスワード・秘密の質問流出事件。詳しくはYomiuri Onlineの連載・サイバー護身術の記事「Yahoo!のパスワード流出、実は「他サイトが危険」?」でレポートしております。

ここでは上記記事の補足と、新たに入手した「強制リセット後の画面と設定」方法についてまとめます。

強制リセット後の「パスワードと秘密の質問の再設定画面」

パスワード(ハッシュ値)と秘密の質問と答が流出した可能性のある148.6万IDについては、5月24日早朝にYahoo!Japanによって強制リセットが行われました。

対象となった筆者の友人から、「パスワードと秘密の質問と答」を再設定する画面のキャプチャをもらいましたのご紹介します(148.6万件のうちの1人、ということになります)。
yahooパスワードリセット
「登録情報の更新」という画面で、以下の様な表記があります。

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、一部のIDは不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしました。
これらの情報だけではYahoo!JAPAN IDを使ってログインすることはできませんが、念のため、「パスワード」と「秘密の質問の答え」の再設定をお願いします。ご迷惑お掛けして申し訳ありません。

「これらの情報だけでは(略)ログインすることはできません」と言い切ってしまうのは問題があると思いますが、その点については「Yahoo!のパスワード流出、実は「他サイトが危険」?」でまとめております。

再設定する入力欄は以下の通りです。

現在のパスワード
パスワード(新しく設定するもの)
パスワード再入力(新しく設定するもの)
秘密の質問(選択式)
秘密の答え

この「秘密の質問と答え」の問題については、徳丸浩さんが「ヤフー株式会社様に「秘密の質問と回答」に関して要望します」で詳しく指摘されています。今のところ、秘密の質問と答え+生年月日でのリセットは停止されていますが、今後の改善を望みたいものです。 秘密の質問と答は、流出確認直後は停止されていましたが、24日金曜日16時35分ごろに再開されたとのことです。秘密の質問と答+生年月日でリセットできるシステムについては、改善を望みたいものです。(再開についてはYahoo!ブログ「[不正アクセスに関して]Yahoo! JAPAN ID状況確認のお願い」参照)

リセット後の再設定画面への遷移は?

ではリセットをかけられた人は、どうやってこの画面にたどり着くのでしょうか。流出後の動作になるだけに気になるところです。

筆者の友人に聞いたところ、以下の様な動作とのことでした。
1:Yahoo!JAPANトップページにアクセス
2:ログインした状態で表示される(ブラウザでの自動ログインが有効になっているためと思われる)
3:同時にパスワード再設定をうながすリンクが表示される
4:クリックすると、上記の画面に遷移
ということは、流出後にも関わらず、ログインした状態でスタートし、パスワードのリセット画面に移るということになります。これについては問題があるのかどうか、筆者は判断できません(ゴメンナサイ)。

この点について、Yahoo!JAPAN広報部に問い合わせたところ
「最初のアクセスでは、その通りで自動ログインした状態で表示される(筆者注:以前に自動ログインに設定した場合)。しかしログインが必要な別のページに飛ぼうとすると、パスワードの再設定画面になる」
とのことでした。ユーザー本人のログイン済のPCからアクセスする分には、これで大丈夫なのでしょうか?(筆者には判断がつかないので、事実関係だけ書きました)

参考までに5月17日の流出第一報での警告画面も

参考までに、流出第一報での警告画面も掲載しておきます。別の友人から入手したもので、最初の流出発表(5/17)直後の警告画面です。流出の危険性があるとされた2200万件のうちの1件ということになります。
Yahoo流出

この時点では、パスワード流出(ハッシュ値)と秘密の質問と答えの流出が疑われていなかったため、単に「念のためのパスワード変更をお勧めします」となっています。

以上がYahoo!JAPANでの流出での、警告画面・リセット画面です。対象なっている方は、できるだけ早く再設定されることをお勧めします。詳しくは「Yahoo!のパスワード流出、実は「他サイトが危険」?」をご覧頂ければ幸いです。

自分が流出対象IDかどうかチェックするには

Yahoo!JAPANが用意している【お客様が今回の対象IDかどうかの確認ツール】で、自分のIDを入力してください。
Yahoo!流出対象IDの確認ツール


Comments are closed.

ITジャーナリスト・三上洋



セキュリティ、携帯電話・スマートフォン、携帯電話料金、ライブメディアのライター・ジャーナリスト。文教大学情報学部非常勤講師
Twitter:mikamiyoh
Facebook:Yoh Mikami
電話番号・メールはこちら

Powered by WordPress, WP Theme designed by WSC Project. ログイン