まだまだ続いているYahoo ID乗っ取り被害

9/8日時点で集計されたYahoo ID乗っ取り被害者数は2147名でありその後も拡大を続けています。

事件の経緯と何処から情報が漏れたのかという可能性と経過についてアルファベットで分類してみました。
----------------------------------------------------
A.2004年　Yahoo！BBの個人情報（名前・住所・電話番号・メールアドレス・Yahoo！メールアドレス・Yahoo！ID）が451万7039名漏れた事件が起きた。パスワードは抜かれてない。
http://docs.yahoo.co.jp/info/notice12.html
---------------------------------------------------
B.2008年4月ごろ、Yahoo！JAPAN　カスタマーセンターを名乗るフィッシングメールがYahoo！メールに届く。
内容は「Yahoo!オークションを継続してご利用いただくためには、Yahoo! JAPAN ID ユーザーアカウント継続手続きが必要です。」というもの。
このメールはIDとパスワードだけでなく暗証番号（セキュリティーキー）の盗難を狙ったフィッシングメールでした。
---------------------------------------------------
C.同時期～2008年9月、IDとパスワードを乗っ取り「シャネル」や「ロレックス」等の高級腕時計を大量に出品される被害が相次ぐ。

----------------------------------------------------
D.2008年9月　中国のとあるサイトで日本のYAHOO　IDが大量販売されていた事に気付く。
-------------------------------------------------------------------------------

ログイン元のIPアドレスは中国が多いが
ヤフオクは中国からのログインに対して対策を取らなかった。そして乗っ取られた出品分のシステム手数料は被害にあった出品者に請求したため、ヤフオクと出品者との間でトラブルが発生。（Yahoo!オークションが被害を受けた出品者に請求したシステム利用料は数万円以上が多い）

このID乗っ取り事件がマスコミに報道されるとYahoo！オークションはオークションTOPページに下記の文章を発表した。内容はログイン履歴の調査だけで内部からの情報流出の
可能性を否定している。（内部スタッフの調査やAの可能性については言及無し）

Yahoo!JAPAN IDの不正利用に関する報道についてhttp://auctions.yahoo.co.jp/phtml/auc/jp/notice/20080906.html

被害に遭われたお客様につきましては弊社にて精査のうえ、返金なども含めて順次対応をさせていただきます。と書いて
ありましたが（お客様が落札者・出品者どちらを指すのかとか、必ず返金するとは書いてないのがアレですな）

その裏で出品者に返金する代わりに、インターネットへの投稿や第三者へ公開しないこと。今後第三者に利用された場合は各種利用料を支払うこと。インターネットへの投稿や第三者へ公開したら、今回の特別対応を無効とし、返金額の再請求に同意するように被害者に対して交渉していました。

数ヶ月もこのハッカーによるID乗っ取り被害をログインされる前にシステムで防ぐことすら未だにできてないのに、ユーザーに対してとんでもない要求です。被害に合った出品者を怒らせてるような対応に呆れます。

「つれづれJUNK」さんのところでこの同意書の全文が公開されています。
http://repair-junk.cocolog-nifty.com/blog/2008/09/post_d8c3.html

----------------------------------------------------

今回の件で分かったこと。
Yahoo！オークションはID乗っ取りの間に使われた利用料は基本的には被害者の出品者に請求する。

Yahoo！オークションは中国からIDを乗っ取ったハッカーをログインされる前に完全に防げなかった。そしてハッカーを捕まえる行動に移らなかった。乗っ取られたら被害を受けた出品者のIDを停止する程度。

カードでヤフオクの利用料を支払っている場合は、ID乗っ取りによる不正利用を某カード会社に訴えてもヤフオクの利用料の請求を取り下げてくれないケースの報告があった。

----------------------------------------------------
Yahoo！オークションは中国でYAHOO　IDが大量販売されているにも関わらず、販売広告の投稿が掲載されたサイトの管理者に対してちゃんと投稿の削除を促していたのだろうか？

乗っ取り後の出品パターンと出品アイテムのアイテム名はほぼ同じでメールアドレスも分かってる。振込先の口座も
判明していながら数ヶ月もこの同じ手口のハッカーに振り回されてるなんてセキュリティの能力的にどうなのか。

文句ばっかり言っても仕方ないので被害拡大を防ぐ方法を考案してみました。

被害拡大を防ぐ案その１

案：Yahoo！オークションが高級腕時計等の被害続出アイテムは支払方法を「受取後決済」とオークションストアでしか出品できないようにシステムを変えて、個人出品でYahoo！ネットバンキングに登録している人からはYahoo！ネットバンキング利用登録解除させる＋セキュリティーキーがあれば登録できるJNB電子マネー口座も念のために解除してもらう。

出品者が「受取後決済」を利用するにはYahoo！ネットバンキングの利用登録が条件。

Yahoo！ネットバンキング利用登録は出品者がジャパンネットバンキングの口座を持っていてもYahoo!ウォレットのセキュリティーキー）とジャパンネット銀行のログインパスワードとログイン後にワンタイムパスワード（60秒間で別のパスワードに切り替わる使い捨てパスワード）が必要。
http://bank.yahoo.co.jp/guide/start/flow.html

ジャパンネットバンキングの口座を持ってない人がYahoo！ネットバンキングの利用登録するには本人確認資料の送付が必要。

課題：セキュリティーキーがあれば登録できるJNB電子マネー口座のみで「受取後決済」が可能なのかどうかがよく分からない。

JNB電子マネー口座のみで「受取後決済」が可能
であればこの案は解決策にならない。しかし、JNB電子マネー口座のみでは「受取後決済」の利用が不可の場合であればこの案は海外からのID乗っ取り被害に対して有効だ。ワンタイムパスワードの突破、本人確認資料を入手するのは
海外からだと難しいからね。現時点ではこの方法が最善手だと考えてます。

---------------------------------------------------
今、YAHOO！IDの乗っ取り被害に気をつけないといけない
4種類の人々。これらの人々はパスワードを直ちにもっと複雑に変更したほうがいい。

1.Yahoo!BBの利用者でYahoo!IDを持ってる人々（Aで個人情報が流出した人だけでなく）その理由はYahoo!BBユーザーは
配送本人確認しなくてもYahoo!オークションに出品できるから。
http://help.yahoo.co.jp/help/jp/auct/kakunin/kakunin-01.html

2．Bのフィッシングメール先の誘導サイトでパスワードどころかセキュリティキーも盗まれた人達。（この人たちが
一番危険。セキュリティーキーを盗まれてたらYahoo！オークション出品ID乗っ取り被害どころかYahoo！ウォレットが使えるサービスで悪用されるとアワワですよ）

3.弱いパスワードを設定している人やネットに公開している
プロフィールにパスワードの一部が混じってる人

4.自宅以外の他人のパソコンを使ってログインしたことのある人。

----------------------------------------------------
ネットユーザーの有志達が、乗っ取られたと疑いの濃い
出品物とIDを見つけたら、ヤフオクに次々と通報してくれています。過去ログになった分は「50モリタポ」で閲覧できます。（「モリタポ」の手に入れ方、1.アンケートに答えて少しずつ集める 2.スレッドを立てて親切な人に恵んでもらう
3.モリタポオークションで買う。）

▼▼詐欺現場実況中継！その５４！！▼▼
http://pc11.2ch.net/test/read.cgi/yahoo/1220751547/

▼▼詐欺現場実況中継！その５３！！▼▼
（過去ログ化してます）
http://pc11.2ch.net/test/read.cgi/yahoo/1219566357/

▼▼詐欺現場実況中継！その５２！！▼▼
（過去ログ化してます）
http://pc11.2ch.net/test/read.cgi/yahoo/1216635143/

---------------------------------------------------
YAHOO　ID乗っ取り被害者達の被害情報や被害者に対するYahoo！オークションの対応を読みたい
人の為の参考資料があつまっているBLOGを２件紹介いたします。（このブログ記事を書くに当たって参考にさせていただきました）

つれづれJUNK
http://repair-junk.cocolog-nifty.com/blog/

ID乗っ取り被害回復ネットワーク
http://blog.goo.ne.jp/yidnet
------------------------------------------------------------------------------
久しぶりに長文書いたので疲れました。この事件について言いたいことはこれで全部書き切りました。私はまだ被害に遭っていませんしパスワードも変えましたがいつ次の被害者になっても
おかしくない状況は続いています。犯人が捕まることとYahoo！オークションの被害者に対する対応やセキュリティ対策がもう少しましな物になるように願いつつキーボードから指を離します。

この超長文を最後まで読んでくれた人がいたらありがとう。

初めまして。5月に被害にあった者です。
被害にあってなくても、しっかり考えて下さっている方がいらっしゃり、とても嬉しく思いました。ありがとうございます。
ところで、日本のYAHOO　IDが大量販売されているサイトに気づかれたとの事ですが、どうやって探すのだろうと思いました。やはり中国語で検索なのでしょうか。やった事がなかったので。(2008.09.13 14:59:52)

tekuさん
こんにちは、大変な目に遭われましたね。
中国の某有名検索サイトで（英語＋日本語＋中国語の組み合わせの検索結果）で見つけました。
QQ（チャットソフト）やフリーメールを使って売買してるみたいですね。
あまり詳しく検索ワードをおおっぴらに書くと今度は
日本国内のsagishiが動き出すかもしれないので
ここに記載するのは控えますが、検索結果はインターネットブラウザのブックマークに保管しています。(2008.09.13 15:56:47)

ふにうにさん
方法ありがとうございます。感謝いたします。
中国のサイトで検索してみた所、たくさんヒットしますね。日本のヤフーID大量販売！５０元とか１００元からで。
こうやって私のIDも売られたのかもしれませんね。売られても大丈夫な様に、今後は運用を見直したいと思います。ありがとうございます。
（記載に問題あれば、伏せてくださいね）(2008.09.13 18:48:08)

一方的にYahooが悪いと思い込むのもどうかと思うけどね。

俺は悪くないYahooが悪いんだ返金しろ、とか言う人はこれを読んで胸に手を当ててよく考えてね
http://neta.ywcafe.net/000894.html

「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々
http://neta.ywcafe.net/000892.html
(2008.09.16 22:52:19)

てすさん
>Re:もう少し頭使おうよ。(09/11)
その言葉そっくりそのままお返しします。
誰かさんのブログのコピー＆ペーストだけでなく自分の頭も使って考えたらどうですか。

数ヶ月続いているにも関わらずまだ被害を止められず毎日次々と新しい被害者が出てるのに、そいつらの出品パターン（「高級腕時計」と「ブランドバック」に集中）をユーザー達に伝えず、警察に被害届を出さずに出品者に多額の手数料を請求する。どう考えてもおかしいよね。

Yahoo！IDとその他の個人情報を漏らして被害者1人につき約500円しか払わなかったとこは何処だったかな？
この状況で500円以上請求したら、そりゃ乗っ取られた出品者達も怒るでしょうよ。(2008.09.17 07:59:35)

Yahoo！メールに来るヤフオクからのメールは
Amazonのマーケットプレイスの注文確定メールと
比べてみると・・・。

両方のメールを持ってる人は見比べてみてね。
Bの手口を防ぐ為にはどういう行動を避ければいいかが
分かるよ。
(2008.09.17 08:33:07)

てすさん

＞俺は悪くないYahooが悪いんだ返金しろ、とか言う人はこれを読んで胸に手を当ててよく考えてね
＞http://neta.ywcafe.net/000894.html
＞
＞「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々
＞http://neta.ywcafe.net/000892.html

このコピー＆ペースト、ID乗っ取り被害に遭った人のブログにも別人名で書き込まれてたのを偶然見かけました。

私はまだ被害に遭ってはないけど、被害に遭った出品者のブログにこの記事URLをわざわざ貼り付けるなんてどういう神経なのかとドン引きしました。

もちろん、てすさんはそんなことする人じゃありませんよね。きっと心根の卑しい人の仕業でしょう。
(2008.09.17 18:33:48)

じゃあ、おなじコピペでも、こんなコピペならいかが？
http://mixi.jp/view_bbs.pl?id=34779325&comm_id=2390743

「単純に、誰のミスかも断定できない状況で利用料だけはとられるということに納得できない」
ということですね。お気持ちお察しいたします。

今回の事件は、不正アクセス禁止法違反という正真正銘な犯罪であり、
誰かのミスを犯罪の糸口にされたのかも、と考えるのはおかしくありません。
たとえば、ヤフーのコンピュータからの情報漏えいとか。

そこで「誰がミスをしたのか」という方向から考えてみませんか？
誰のミスなのかがはっきりすれば
少しくらいは納得ゆくのではないでしょうか。


これを読んでいるみなさんは、少なくとも一つは
パスワードを持っているはずです。「mixiのパスワード」です。
そして「Yahooのパスワード」も持っていることでしょう。
今回のヤフオクの事件の被害者だということですから当然ですね。

では、
『Yahooのパスワードとmixiのパスワードを同じにしている／していた』
という方は心の中で手をあげてください。

たくさんの手があがったような気がするのは私だけではないと思います。

「パスワードを第三者に教えてはいけない」というのはおそらく誰もが知っている常識でしょう。
しかし、自分とYahooの二者の間だけの秘密であるはずのパスワードを、
mixiという第三者に教えてしまっている。

それって、自分の手でパスワード管理の常識をやぶってしまっているということです。
おそらくかなり多くの人にあてはまるのであろうこの常識破りの現実を、
まずは真摯に受け止めるべきではないでしょうか？

（文章長いから細切れでつづくよ）
(2008.09.19 16:13:03)

そこで、たとえばですよ、mixiからメールアドレスとパスワードが漏洩していたら？

mixiには1000万人もユーザーがいます。そのうち、ヤフーメール（@yahoo.ne.jp）
で登録している人は10万人はいるでしょう。
もしも honyarara@yahoo.ne.jp というアドレスであれば、
ヤフーオークション上でのIDが@マークの左側（honyarara）である可能性は
高いと考えられます。
10万人中3万人くらいはそうなんじゃないでしょうか。

3万人の中に、mixiのパスワードとYahooのパスワードを同じにしている人は
どれだけいるでしょう？半分？いやもっといるんじゃないでしょうか？

ということはそれらの方々はみな今回のような事件の被害者または
被害者予備軍ということになります。
いずれにせよかなりの数にのぼるでしょう。
そしてmixiは「ミスをした者」の一人ということになります。

ここまで、mixiとそのパスワードを持ち出したのは
あくまでもわかりやすくするためのたとえ話ですから、誤解しないでください。

でも決して論理の飛躍ではないと思いますよ。

今年の5月に情報漏えい事件が発覚したとある化粧品販売会社のサイトでは、
状況説明の一節にこんなことが書いてあります。
＝＝＝＝
http://www.ozinter.com/news_list.asp?nid=37
サイト、携帯、その他で「同一パスワードを使用している人」は
2重、3重のパスワード管理が無意味になりますので、
出来るだけ早く全て違うパスワードに変更することをお勧め致します。
＝＝＝＝

この化粧品販売サイトに限らず、似たような話はちらほら聞きます。
(2008.09.19 16:14:10)

こうなってくると、「誰がミスをしたのか」
つまり「Yahooのパスワードを漏らしたのは誰か」という問題を
完全に解決するのは難しいですね。

(1)Yahooのパスワードと他のサイトのパスワードを
同じにしている人が多い
(2)ハッキングされてパスワードやメールアドレスを含む個人情報が
漏洩するというミスをする企業がここ1年くらい後を絶たない

という状況の二つが重なっていて、犯罪者がそこにつけこんだと
いう推理はまったく不思議ではないからです。


でも、ひとつだけ100%はっきりしていることがあります。

自分とヤフー以外の第三者にパスワード情報を漏らすという
ミスを最初にやってしまったのは実は「自分自身」である人がとても多いということ。

もちろん、ここまでの長いお話は「誰がミスをしたのか」
という問題に対する、複数ある可能性のうちの一つにすぎません。

でもすごくあたってると思うんだけど、どうかな？

自分が使ってるパスワードを、他のサイトでも同じものを使ってませんか？
それが、パスワードを誰にも教えてはいけないという常識に反していることを理解していますか？

企業に対して誠実さを求めるなら、ユーザーはこの二つの質問にも誠実に答えるべきでしょう。

（コピペおわり）
(2008.09.19 16:15:03)

てすさん

あの～、自分の頭で考えることさえできずに他の人の意見を丸ごとコピー＆ペーストしてくるのは議論以前の問題だと思います。私の言いたいことが分かりますか？
(2008.09.19 17:53:22)

お気に召さなければどうぞご遠慮なく削除を。
どうぞどうぞどうぞ。
そうすれば自分が気に入る意見「だけ」
を集めることができますよ。
それがあなたのいう議論なのであればね。

たしかにコピペは所詮コピペ。
でも無視すべきおかしなことが書いてある
わけでもないと思うのですがいかがですか？

ところで最後の質問が興味深いですよね。
わたしはギクっときちゃいました。
あなたはどうですか？
あ、答える必要はないですかそうですか。
(2008.09.19 19:06:43)

てすさん
「もう少し頭使おうよ」と書いてくる人が他人の意見のコピペだけで議論しようというのは呆れちゃいます。

マルチコピペのみのコメントと議論する価値は０だと
私は考えているのであなたとは議論する価値も無いと
判断しました。あなたからの今までのコメントは削除せず放置します。
　
(2008.09.19 20:56:45)