オークションの豆知識

19日にYahoo!JAPANの広報のブログについて書いたけど、
「Yahoo!JAPANの登録情報の漏えいや、それによる不正アクセスの事実はありません」
http://blogs.yahoo.co.jp/yj_pr_blog/19966817.html
というYahoo!JAPANの広報のブログの文章がTwitterでは「不正アクセスの事実はありません」
だけ抜き出されてTwitterのつぶやきの流れの中で流れて

「不正アクセスは無い」とか、不正なログインがという返信が来たのに「不正アクセスの事実はありません」と発表したと誤解している人たちって多くないか。

ヤフージャパンはYahoo!JAPAN内からの登録情報の漏えいによる不正アクセスの事実はないことを述べたにすぎない。そして外部サービスでヤフージャパンのIDとパスワードを入力した場合に外部サービスが利用しているサーバーのIPアドレスが表示されている可能性について話しているに過ぎない。

そして外部サービスでヤフージャパンのIDとパスワードを利用するなら「OpenID」の事を話しているのでしょうが、それなら多くの人の報告書き込みにあがっているppp.dion.ne.jpやodnのIPアドレスでアクセスされているヤフージャパンのIDとパスワードを利用する外部サービスとは何なのかって話ですよ（「フェースブック」でないことは分かっています。その外部サービス名を公式発表すれば不安になっている人や上記の発表を誤解して怒っている人達は落ち着くはずです。）

IDを持つユーザーにとってYahoo!JAPANのID漏えいが無いという話は信じるに値する情報はありません。なぜならIDを持つユーザーには内部セキュリティの情報は当然公開されないのですから。セキュリティ上そりゃそうだよね。

代わりにYahoo!JAPANはユーザーのセキュリティの啓蒙に力を入れていてフィッシングサイトの漏えいを防ぐサービス「Yahoo!ツールバー」のフィッシング警告　機能を強化して、不正にログインされた可能性のあるIDは停止して、1.乗っ取られた場合にはメールで知らせる
「ログインアラート」機能 2.「ログイン履歴」3.「ログインシール」の3つの機能を予防策としてユーザーに提供し　「パスワード管理の注意」「PCを共有する場所での注意」「サイトごとに違うパスワード」を設定することをユーザーに推奨してくれています。

IDを持つ人にできることは、悪用された被害が出ていない今の時点では、ヤフージャパンの主張をうのみにして信じる事では無く、IDを削除してサービスを利用するのをやめるか、パスワードをもっと大丈夫なものに変更するか、パスワード突破されて悪用されたとき被害を最小限に食い止める作業をするかぐらいしかない。

ネットのヘビーユーザーはこれに加えて「スクリーンキーボード」「キーロガー」etc言い出してドヤ顔しがちだけどインターネットのライトユーザーはその膨大なセキュリティの知識量についていけないだろ。「パスワード変更」って言われてもTOPページの「登録情報」からログインして変更することすら知らない人も多いのではないでしょうか。

上記の幾つかの防御策の逆手を突かれる可能性もあるわけで（例：私がこのブログで過去に実例を度々指摘してるYahoo!メールに来るIDフィッシングメールなど・・・）
「安心の為にこうしましょう」「安全の為にこうしましょう」「便利だからこうしましょう」というフレーズを出せば逆に人のセキュリティ意識は緩むと思う。
公式サイトの提供するセキュリティサービス以外でそういうの利用しない方がいいと思うんだけどね。

ヤフージャパンのIDがパスワード突破されてID悪用された場合に備えて、2008年の中国ハッカーの大量ID乗っ取り出品事件の教訓から言えることは「パスワードを変更して長くし防御力を高くする」「利用料金の支払いはクレジットカードではなく、銀行引き落としが望ましい。それも公共料金の支払い、ローンや他の支払いの引き落としが設定されてない
ヤフージャパンの有料サービスの引き落としに使うだけの銀行口座がモアベター」