何が問題になるのか?

不正アクセスを行うためには、基本的に対象のユーザーIDとパスワードが必要だ。今回のYahoo! JAPAN IDの件では、漏れた可能性があるのは主にIDであり、パスワードそのものは流出なしと発表されている。なので、直ちに不正アクセスされることはおそらくない。仮に不正アクセスが生じたとしても、Yahoo! Japanが隠蔽するようなことはないだろう。

とはいうものの、不正アクセスに必要な二つの要素(IDとパスワード)の片方が分かっている場合、不正アクセスされる可能性が増す。もし「日本人がよく使うパスワードリスト」というものがあれば、IDリストを片っ端からログイン試行すれば、いくつかはログインに成功するかもしれない。

Yahoo! JAPAN IDのアカウントをあまり気にしていない人もいると思うが、別のサイトで同じID/パスワードの組み合わせを使っている人はけっこう多いはず。Yahoo! JAPAN IDに限らず、1組のID/パスワードが流出すると、他の重要なアカウントに侵入される可能性も生じる。実際、2013年に入ってから、日本人向けのサービスへの大量不正アクセス事例が多く報道されているのだ。また、Yahoo! JAPANはOpenID 2.0に対応しており、Yahoo! Japanのログイン情報を他のサイトで利用することが可能だ。その意味でも、Yahoo! Japanだけの問題では済まない。

メールアドレスについても、同じようなことが言える。「ユーザーID = メールアドレス」というサイトは多く、心当たりがある人もいるだろう。Yahoo! JAPANのメールアドレスが多数流出すれば、当然こうしたサイトにも、Yahoo!メールアドレスを使ったアクセス試行が出てくる可能性がある。

Yahoo! JAPAN IDでログインできるサイトの例。Yahoo! JAPAN ID/パスワードがあれば、そのサイトにもログインできるわけだ

こちらは「ログインID = 登録メールアドレス」というサイトの例。IDは忘れてもメールアドレスは分かるという人が多いためなのか、最近はメールアドレスとパスワードでログインできるサイトが増えている

また、メールアドレスが漏れるということは、迷惑メールの増加と、迷惑メールの(名目上の)送信元にされることが想定できる。迷惑メールの対策法が生まれ、それなりの年月がたって進化してはいるものの、やはりこの手のメールが根絶する状況にはなっていない。

これがクレジットカード番号の流出というような場合は、会社規模でのモニタリングがあるので、被害は第三者にも把握しやすい。しかし、ユーザーIDとしてのメールアドレスや「秘密の情報」は、基本的に当事者しか知らない情報であるため、組織的な対策が行いにくいのだ。

次ページ: どういう対策をすればいいか