1. まとめトップ

YAHOO!に中学生が不正アクセス、秘密の質問によるパスワードリセット仕様が事件に

中学生によるヤフーへの不正アクセス事件。どんな方法でアクセスしたのか?まとめました。

更新日: 2013年06月20日

emo.tamさん

  • このまとめをはてなブックマークに追加
3 お気に入り 3491 view
お気に入り追加

▼ Yahoo!に中学生が不正アクセス

福井署は…同級生のIDでヤフーサイトにアクセスしメールを盗み見したとして…県内の中学3年の男子生徒(14)を書類送検した。

▼ どんな方法で不正アクセスしたんでしょうか?

送検容疑は3月13~15日の間、同級生になりすまし、ヤフーのパスワードを忘れたときに変更できる「救済機能」を利用、8回にわたり不正にアクセスした疑い。

男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、合致しパスワードを変更した。

▼ 「秘密の質問」だけでパスワードリセットができてしまう?

Yahoo!は、パスワード、シークレットID、ワンタイムパスワードの全てが、「秘密の質問と答え」が分かれば解除またはリセットできます。これはマニュアルに書いてあり、「秘密」ではありません

▼ 同級生同士なら筒抜け?予測しやすいYahoo!の「秘密の質問」

『秘密の「質問」と「答え」』の質問の方は、あらかじめ用意された選択肢から選ぶようになっており、第三者が予測できそうなものが多いのが現状です。

子どものころのあだ名は?
初めて買った曲のタイトルは?
初恋の人の名前は?
子どものころの夢は?
座右の銘は?
初めて飼ったペットの名前は?
祖父の下の名前は?
生まれた病院は?
初めて行った海外の国・地域は?
小学1年生のときの担任の先生の名前は?
リタイア後に住みたい場所は?
初めて見た映画は?
初めて買った車は?
おふくろの味といえば?
中学時代に所属していたクラブは?

登録時に「あなたしか知らない質問と答えを設定してください」という注意書きはあるものの、上記の選択肢の中には、「子どものころのあだ名」、「祖父の下の名前」、「小学1年生のときの担任の先生の名前」、「中学時代に所属していたクラブ」など、明らかに他人が知っている質問もあり、他も推測しやすい質問が多いです。せめて、質問を自由に入力できればと思います。

▼ 以前から指摘されている「秘密の質問」の問題、と対処方法

最近また、アカウントを乗っ取られただとか、ハッキングされたとか、そういう話をちょくちょく聞くようになってきて物騒な世の中ですね><そこで、ぼくの考える「いちばん簡単なアカウントの乗っ取り方」について ちょっと書いておきたいと思います!

1. 「パスワードを忘れた」をクリック
2. 「秘密の質問に答える」をクリック
3. ペットの名前や、好きな映画を聞かれるので、対象者のSNSやブログを調べる・または直接聞く
4. アカウントゲット

さすがに最近は「秘密の質問」を使っているWebサービスは減ってきたけど、まだまだ結構あるんですよね。これって人によっては、ものすごく脆弱な仕組みだと思うので、こんなもの早く絶滅すればいいのになーと思ってます。

なので、もしこの先、何かの登録時に「秘密の質問」に出くわしたら質問とは全然関係のない答えを用意しておくと良いかもしれませんね!

▼ ところが、すでに予測しやすい答えを設定した人は手遅れ?Yahoo!の「秘密の質問」は変更できない…

▼ そのため、今回の事件では本人が自衛のためにパスワード変更をしても、秘密の質問が変更できないために…

ログインできなくなった同級生がパスワードを変更し直したが、男子生徒は再びパスワードを変更したという。同級生が「身に覚えのないログインがある」と警察に相談し、容疑が明らかになった。

▼ ヤフーの爆速対応は…期待薄?

実は、攻撃者が、秘密の質問と回答および生年月日を知っていれば、メール盗聴などをしなくても、利用者のパスワードをリセットし、ワンタイムパスワードを解除し、シークレットIDも解除して、結果として利用者のIDでログインできることは、昨年の11月に気づいておりました。このため、貴社YIRDに昨年11月3日に連絡差し上げています。

つまり、Yahoo!IDと生年月日と『秘密の「質問」と「答え」』を知っていると、ワンタイムパスワードの設定も、シークレットIDの設定も解除でき、パスワードをリセットできます。脆弱性とまではいえないものの、非常に好ましくない仕様だと思います。『秘密の「質問」と「答え」』を無効にできるようにするか、せめて後から変更できるようにすべきだと思います。

半年が経過しましたが、上記仕様は変更されていないようです。つい先日も上記を試してみましたが、仕様が変わっていないことを確認したところでした。

@ockeghem 秘密の質問と答えを変更させないメリットってあるのでしょうか?

Yahoo!さんの意図は分かりませんが、どんなことがあっても秘密の質問と答えがあればリセットできるという回復機能という位置づけなのかもしれません RT @crosslaboratory: @ockeghem 秘密の質問と答えを変更させないメリットってあるのでしょうか?

1





焼酎片手にまとめております。