ヤフージャパンのIDとパスワードが大量流出

ヤフージャパンのIDが大量流出したというニュースが流れたのはちょっと前だったが、その時点ではIDだけだった。IDだけなら知られるのを前提にしたものなので、悪用の度合いも低い。

しかしその後パスワード、秘密の質問とその答えまで流出したという報道があった。パスワードは暗号化されているので、解読には時間がかかる。この状態なら流出しても速やかにパスワードを変更すれば事なきを得る。問題は秘密の質問とその答え。パスワードをリセットできる。

ヤフーはこのトラブルを受けて、秘密の質問によるパスワードのリセット機能を一時停止した。

ヤフー側でできる対応はヤフーにやってもらうしかないのだが、ユーザー側でもできることはしておきたい。では何をするべきか。

便乗詐欺に引っかからない

この手の流出騒ぎがあると、自分のIDが流出したかどうか気になるものだ。そして確認サイトと称してパスワードを盗み取る詐欺サイトが登場する。このようなサイトにパスワードを入力しないこと、つまり気になっても確認しないことが重要だ。

ヤフーの場合は公式サイトで流出したかどうか確認できるようになっている。ただしこれもよく似た詐欺サイトに引っかからないための用心が必要だ。ヤフートップに確認ボタンがあるが、未ログイン状態でこのボタンを押すとIDとパスワードの入力を求められる。本物ならいいが、偽物だと入力するわけにはいかない。詐欺に引っかからないためには、まずは通常の手順でログインだけして、その後に確認ボタンを押すようにするといい。通常のログイン画面まで詐欺サイトだとどうにもならないが、それは普段から注意しておくしかない。

パスワードを変更する

パスワードは定期的に変更するべき。パスワードは暗号化されているし、そう簡単には破られない。しかし完全というわけではなくて、長い時間をかけて解析すれば破ることができる。定期的に変更していれば、解析が追い付かない。

他サイトの対策をする

ヤフーのIDが流出したのだが、他のサイトでもパスワードを使いまわしていたらそれもすべて変更しなければいけない。パスワードは使いまわさないことを推奨されているが、面倒なので使いまわしている人も多いだろう。

秘密の質問を信用しない

個人的には秘密の質問というシステムは全く信用していない。生まれた町とか、母親の旧姓とか、生年月日と同じで決して本人しか知りえないものではなく、調べればわかることだ。できれば秘密の質問には答えたくないのだが、答えることが必須となっている場合には嘘の答えを書いておく。生まれた町に全然住んだこともない町の名前を入れるとか、母の旧姓に無関係な名前を入れるとか。それもサイトごとに違う名前を入れる。

そのうち答えを忘れて秘密の質問の意味をなさなくなるが、そもそもセキュリティ的に意味をなさないのだから必要ない。ひらがなで入力したか漢字で入力したかアルファベットで入力したか忘れたらそれまでだ。

生年月日による個人認証と同様に、秘密の質問システムもなくなってほしい。