~ 「リスト型攻撃」による不正アクセスを防止し、より安全なサービス利用を実現 ~
ヤフー株式会社(以下、Yahoo! JAPAN)は本日、「Yahoo! JAPAN ID」に設定しているパスワードを無効とし、「リスト型攻撃」(※1)による不正アクセスを防止する機能の提供を開始しました。
Yahoo! JAPANは、悪意のある第三者が不正アクセスを試みる代表的な手法「リスト型攻撃」のリスクを解消するために、2017年4月より、新規の「Yahoo! JAPAN ID」ユーザーに対し、パスワードを設定しない登録方法を提供しています。この方法で「Yahoo! JAPAN ID」を登録したユーザーは、携帯電話番号と都度SMSやメールに送信される確認コードの入力でログインできることに加え、パスワードを設定していないため、攻撃者が他のサイトなどから不正に入手したIDとパスワードで、アクセスされるリスクがありません。2018年4月現在、パスワードを設定せずにログインしているアクティブユーザーID数は、約200万IDになります。
今回提供する機能は、すでにご利用いただいている「Yahoo! JAPAN ID」に設定しているパスワードを無効とし、「リスト型攻撃」を防ぐセキュリティ向上の取り組みの一環です。パスワードを無効にした後は、「Yahoo! JAPAN ID」に登録しているSMSやメールに送信される確認コードの入力でログイン(※2)できます。まずは、スマートログイン(※3)を設定しているユーザーを主な対象として提供し、段階的に範囲を広げていく予定です。
※1:第三者が他のサイトなどから入手したIDとパスワードの組み合わせのリストを使って、不正アクセスを試みる手法。
※2:一部サービスではパスワードを利用します。
※3:ソフトバンクのスマートフォンなどからYahoo! JAPANが運営するサービスに、IDやパスワードが入力不要でログインできるサービス。
■「リスト型攻撃」による不正アクセス防止のイメージ図
Yahoo! JAPANは今後も安心安全なサービスを提供するために、生体認証などのパスワードを利用しない新たな認証方式を実現していきます。
■パスワード無効設定 ※本機能はスマートフォンからのみ設定が可能です。