Yahoo! Japanが備えるセキュリティ機能の数々

保持しているYahoo! JAPAN IDへの不正ログインを未然に防ぐには、パスワード変更が効果的だ。また、秘密の質問が漏れた可能性のあるユーザーは、秘密の質問も再登録することができる(通常、この質問はいったん登録すると変更できないが、5月24日時点ではその説明が不十分だった)。

加えて、幸いなことにYahoo! JAPANには、不正ログインを受けないための様々な対応策がある。メールアドレスの流出には「メールアドレスの変更」、不正ログインされないためには「シークレットID」が用意されている。シークレットIDは、Yahoo! JapanにログインするためのIDだけを変更するので、利用中のサービスにはほとんど影響を与えない。これらは、Yahoo! JAPAN IDとログインのためのID、メールアドレスの紐付けを外すため、今回のようなID流出時の対策としては非常に有用だ。

メールアドレス変更は有償ユーザーだけと思っていたが、無料のメールユーザーを含めて変更可能。旧アドレス宛てのメールも30日間なら受け取れる

シークレットIDは、ログインに使うIDだけを変える。今までのアカウントとまったく関係ないIDに変更すれば、メールアドレスから類推されて不正ログインを受ける可能性を減らせる

ログインを安全に行う1つの手法として、「ワンタイムパスワード」がある。ログインパスワードが毎回異なり、携帯電話へのメールに送られるか、Android/iPhoneアプリに表示される数字でログインするかという、二要素認証が可能だ。

不正ログインをいち早く検知したり、普段使わないIDを保持したりするなら、「ログインアラート」を設定しておくとよい。ログインアラートは、Yahoo! JAPANが不正アクセスと疑いを持つような、注意が必要なログインに対してメール通知する機能だ。メールを見て問題だと思った場合は、一時的にロックする「ログインロック」機能もある。また、「ログイン履歴」が過去30件記録されているので、定期的に確認することで安全性を高められるはずだ。

Gmailやオンラインバンキングで利用が進む「二要素認証」のワンタイムパスワードは、Yahoo! JAPANでも利用可能だ。パスワードはメールか、スマートフォンのアプリで対応する

ログイン時にメールを送ってくれるのがログインアラート。普段使うアカウントなら注意が必要なときだけ(たまに使うアカウントならログイン時に毎回)、アラートを出す設定にするとよい

過去30回のログイン情報を保持し、IPアドレスやログイン方法を表示するログイン履歴。緑色は現在アクセス中のIPアドレスを意味し、自宅主体で使う人ならIPアドレスはあまり変わらない。不正アクセスの感知という意味では、ログイン失敗も記録するようになってほしい

日頃の心構え

不正アクセスを予防するには、定期的にパスワードを変更するとか、強力なパスワードを使うとか言われているが、「○○をすれば不正アクセスはなくなる」と考えないほうがよいだろう。不正アクセスは現実的にある話なので、不正アクセスされにくくするのはもちろん、仮に不正アクセスされそうになっても、すぐに対応できる体制を作っておくべきというのが筆者の考えだ。

Yahoo! JAPANの場合は、ログインアラートを設定するだけでもかなり状況がよくなる。ログイン時にメール通知する「アラート機能」が使えるサイトはいくつかあり、例えば楽天市場でもログインアラートを用意している(楽天市場はログイン時に毎回メールが届くが、ログインロック機能がない。「出先でとりあえずロック」という即時対応ができない点が残念)。

また、金銭に直結するサイト(銀行やクレジットカード番号を登録したサイト)では、特に注意が必要だ。このようなサイトの自分アカウントに不正ログインされたら、目も当てられない。セキュリティベンダーも「攻撃者の最終目的は金銭」と警告を発している。金銭を扱うサイトやサービスでは、パスワードを他サイトと変えておく、不必要にクレジットカード情報を登録しない、たまにしか使わない通販サイトではクレジットカード情報を毎回入力する、といった使い方も考えておくとよいだろう。