ヤフーは2020年2月より、4年以上ご利用がないYahoo! JAPAN ID(以下、ID)の利用停止措置を行っています。2021年2月からは、3年以上ご利用がないIDを利用停止対象としており、今後も定期的にこの措置を実施予定です。
今回は、長期間利用のないID停止を停止する理由、使われていないIDがなぜ危険なのか、IDが乗っ取られてしまうとどのようなリスクがあるのか、その防止策などについて担当者に聞きました。
2005年中途入社。現在はセキュリティ責任者として、主にYahoo!メールやYahoo! JAPAN IDのセキュリティ対策に従事している。
長期間利用がないIDは、不正アクセスされてしも気がつきにくい
昨今、複数のサイトで同じIDやパスワードを利用している場合などに、悪意ある第三者に不正に入手され、IDの所有者になりすまし、不正にログインされてしまうリスクが高まっています。そのため、ヤフーでは、不正利用の疑いを検知した際には適宜、対象となるIDに対して、利用停止措置(※1)を実施しています。
※1 ID自体は削除されませんが、ログインできなくなります
特に、長期間ご利用がないIDは「不正アクセスを受けても気づきにくい」ため、不正に利用される危険性が高くなります。ヤフーでは、不正アクセスの可能性を低減し、より安全にご利用いただくために、2020年2月から定期的に「長期間ご利用がないYahoo! JAPAN IDの利用停止措置」を実施しています。その後も日常的に利用されていない ID に対する不正なログインが多いことから、2021年2月からは3年以上ご利用実績がないIDを利用停止措置の対象としました。
今後も年に2、3回のペースで定期的に3年間ご利用がないIDの利用停止措置を実施します。中には、ご自身が過去に利用されていたIDを思い出せず、うろ覚えになってしまっているという方もいらっしゃるかもしれません。その場合は、登録時の連絡用メールアドレスや生年月日を元にご自身が過去に登録されたIDを確認できますので、そのためのツール(Yahoo! JAPAN ID検索)も併せてご案内しています。
IDを乗っ取られてしまうと何が危険なのか
長期間利用されていないIDは、万が一、乗っ取られてしまっても気づきにくい、と先ほどお話ししました。ID が乗っ取られてしまった場合、具体的には以下のようなリスクがあります。
1)ID が悪用されてしまう
IDのパスワードが他人に渡ってしまうと、不正に入手したクレジットカードに紐づけられて不正決済に利用されるなど、なりすまして買い物をされたり、有料サービスを悪用されたりする可能性があります。その結果、経済的被害を受けたり、不正・不法行為の関与を疑われたりする可能性もあります。
2)個人情報がのぞかれてしまう
本人になりすましてログインされた場合、勝手にパスワードを変えられてしまい、アカウントを乗っ取られるだけではなく、登録していた名前や住所などの個人情報も見られてしまうリスクがあります。
ID の登録情報がのぞかれた結果、個人情報を暴露され脅迫行為を受けたり、その個人情報が売買されたりする可能性もあります。
3)メールが読まれてしまう
メールにログインされ、大事なメールを読まれてしまうリスクがあります。メールがのぞかれた結果、メールの情報を暴露され脅迫行為を受けたり、本人になりすまして勝手にメールを送られたりすることで、不正・不法行為への関与を疑われる可能性もあります。
このように、ご自身のIDを不正に利用されてしまうことで、ご自身が気づかないうちに犯罪に巻き込まれてしまう可能性があります。このようなことからユーザーのみなさまを守るためにも、IDの不正利用防止対策にしっかり取り組んでいきます。
今後の展望
2020年2月から実施している長期間ご利用がないIDの停止措置の他にも、不正利用の疑いを検知した際は、適宜、適切な措置を講じています。また、新規Yahoo! JAPAN IDの登録は、携帯電話番号を利用した方法に一本化したことから、不正利用を目的としてIDを大量取得する手口が減少しています。また、不正な ID 乗っ取りを目的としたいわゆる「リスト型攻撃」(※2)も減少傾向にあります。
※2リスト型攻撃:
攻撃者が不正に入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みる攻撃のこと。
不正利用されるIDの傾向を見ると、パスワードを使ってログインしているIDが大半を占めています。そのため、ヤフーではパスワードの代わりにSMS認証や生体認証によるログイン方法の設定を推奨しています。また、不正を働く動機付けを極力弱くするために、その他様々な対策も進めていきます。
パスワードを使わないログインのメリット
ヤフーは、より安全にサービスをご利用いただくため、パスワードを使わないログイン方法の設定を推奨しています。
不正アクセスを防止
スマートフォンを所持している本人だけがログインできるため、個人情報を見られたり、お買い物などで不正利用されたりするリスクを防ぎます。
パスワードを覚える必要がない
SMSに届く確認コードを入力したり、スマートフォンに搭載されている指紋・顔認証などを利用したりするため、パスワードを覚える必要がありません。
詳しい設定方法については、以下のページをご確認ください。
パスワードを使わないログインとは
パスワードの代わりに、SMSに届く確認コードを入れてログインする方法です。
・パスワードを使わないログインの設定方法
生体認証によるログインとは
ブラウザーやアプリでログインまたはパスワードや確認コードでの再入力が必要な時に端末に登録済みの生体認証(指紋・顔)が利用できます。生体認証は端末上で行われるため、お客様の生体情報がYahoo! JAPANへ送信・保存されることはありません。
※アプリでは、パスワードや確認コードでの再入力時のみ利用できます。また、指紋・顔認証だけでなく、パスコード認証も利用できます。
・生体認証によるログイン(iOS)
・生体認証によるログイン(Android)
【関連リンク】
- 長期間ご利用がないYahoo! JAPAN IDの利用を停止します。(セキュリティセンター)
- ヤフーが推進する「パスワードレス」その進捗と今後の展望(コーポーレートブログ)
- 「安全・安心・便利」FIDO(ファイド)を使ったパスワードレスログインとは(コーポーレートブログ)
- 「スマホを落としただけなのに」スマホのセキュリティ対策(コーポーレートブログ)