Yahoo! JAPAN ID(アカウントのこと)は公開情報であり、メールアドレスとヤフオクで思いっきり見えている(元々そういう仕様)。
このIDは「ログインにも使える」ため、実質ログインに必要なのはパスワードのみ。
パスワードだけだと不安なので、「2段階認証で無理やり記号を含めた64桁になるほどの底上げ」と「ログインに使用するYahoo! JAPAN IDをシークレットIDに変更」して、最新の技術で守っていこう。
まだ複数登録可能なYahoo! JAPAN IDを持っていないなら以下参照。
登録情報
Yahoo! JAPANにアクセスしたら、右側に「登録情報」があるのでクリック。
登録情報が表示されたら「ログインとセキュリティ」に進む。
ログインとセキュリティ
ワンタイムパスワードとシークレットIDの項目にたどり着いたら、番号どおりに進めていこう。
なお、
- 確認コードでログイン(SMS):設定してもSMS認証なしでログイン可能なバグ?のため無視
- 確認コードでログイン(メール):ワンタイムパスワードから設定するので無視
- ログインアラート:侵入されないように強固にするため無視
- メールアドレスログイン:ワンタイムパスワード設定時に強制的に設定するので無視
ワンタイムパスワード(2段階認証)
Yahooワンタイムパスワードアプリが廃止に伴い、Yahoo専用アプリを使わない2段階認証コードの取得そのものもできなくなった。要するに現在はメールかSMS認証の2つしかない。
Yahooはアプリ・メールどちらかを2段階認証として使うことができる。
将来を考えるとアプリで実装したほうが良いので、オススメな2つのアプリのどちらかをインストールしてこよう。
2段階認証アプリはAmazon・Google・Twitterなどで当然のように使える。
準備ができたら「ワンタイムパスワード」をクリックし、「アプリ」を選択。
聞いたことのないYahooワンタイムパスワードアプリの使用を促されるが完全無視し、さきほど紹介したAuthy・IIJ SmartKeyのどちらかを使おう。
各アプリの登録コード(別名シークレットキー)手動入力機能の場所は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
次に、「復帰用メールアドレスの選択」を迫られる。
この記事はメールアドレスを一つも登録していない前提で進むので「メールアドレスの追加・編集」をクリックしていく。
Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。
以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。
これで復帰用メールの登録だけ(まだ終わっていない)が完了したので、「ご利用中のサービスに戻る」へ進む。
さきほど追加したメールを「復帰用メールアドレス」に設定。
最後に「ご利用中のサービスに戻る」をクリック。
これで「2段階認証アプリに表示された6桁のコードを入力する作業」が増えて激烈に安全になった。
メールで2段階認証
①のワンタイムパスワードへ進む。
メールを選択し、「メールアドレスの追加・編集」をクリック。
ここでは1つもメアドを登録していない前提で進めていくが、1つだけだとどっちみち進めないので2つ登録していく。
Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。
以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。
これで下の画像のように1つ登録した状態になったが、例のごとく2つ必要なのでもう1つ登録してこよう。
2つ準備でき次第、「ご利用中のサービスに戻る」をクリック。
そして、2つのうちどちらかを「ログインするたびワンタイムパスワードを受信したいメアド」として選択して「送信」。
①メールに6桁のワンタイムパスワードを送信されるので入力 → ②個人端末ならチェック → ③送信。
そうするとさきほど設定した「復帰用メールアドレス」が表示されているので、そのまま「設定」をクリック。
最後に「ご利用中のサービスに戻る」をクリック。
これで「受信したメールに表示された6桁のコードを入力する作業」が増えて安全になった。
シークレットID
公開情報のYahoo! JAPAN IDを使ったログインを今から設定するシークレットIDに変更することができ、非公開情報のIDでログインセキュリティを向上させることができる。
②のシークレットIDをクリックして設定していこう。
そうすると「Yahoo! JAPAN IDとニックネーム」になっている状態なので、シークレットIDに変更して画像のように設定していこう。
2段階認証を設定していないなら、ID・パスワードの付け方の極意を習得するといい。
そうすると設定したシークレットIDを保存するように言われるので必ず保存!
これで次回から「Yahoo! JAPAN IDとニックネーム」でのログインができなくなったので、絶対に忘れないよう暗号化されている理想的なパスワード管理ソフトにメモを推奨。
確認するため再度ログインしておこう。
「連絡用メールアドレスと電話番号でのログインは可能」と書いてあるが、この記事で初めてメアドを登録したのなら「連絡用メールアドレスログイン」と「電話番号ログイン」は回避済だ。
他のセキュリティ向上手段(捨てメアドなど)
Yahooメールは捨てメアド機能が付属しており、メインのアドレスに迷惑をかけない生贄にできるメールアドレスを、無料で10個まで作成可能だ。
通常の捨てメアドサービスだと弾かれるケースはあるが、Yahooのネームバリューにより使えるケースが多々あるので、捨てメアドはYahooをオススメする。
もう一つアカウントを作りたいならこちら。もちろん新しい方でも捨てメアドを作成可能だ。
さらなるセキュリティ意識のレベルアップ・修行・答え合わせはこちら。
コメント
もう20年も前の事ですが。
何かの拍子に姓が同じ他人のアカウントで入ったらしく?
メール画面にびっくり!
お医者さんだったみたいでメールの内容は患者さんからのもの。
私は女だからまだ良かったかもしれませんが
産婦人科の内容で、めっちゃ焦ってyahooに連絡しましたけど。
yahoo対策はやりすぎくらいでいいと思います!
怖っ( Ꙭ)
別の件ではたまに聞くやつですけど(他の人に表示したページを、他の人が参照できちゃった系)、20年前にも似たようなのがあったのですね……
本当、悪い人に見られなくてよかった!
はじめまして。
情報が楽しくついついやりすぎ始めています。
今回、Yahooに関する設定をこの頁を参考に見直していたところアプリによる二段階認証が選択できなくなったようなので情報提供です。
今後、旧来のアプリ認証がどの様になるのか分かりませんが、Yahooのワンタイムアプリ廃止の影響と思われます。現在はメールかSMSしか選べませんでした。
記事や総務省の安心ハンドブックでSMSもメールも非推奨なので避けたいのですが・・・。選択肢としてアプリを残しておいて欲しかったです。とりあえずYahooに要望を送ってみます。
https://id.yahoo.co.jp/security/otp.html
ごめんなさい、この記事追記していなかったですね(´ε`;)
こっちではもうSMSかメールしかないですよと、注意書きをしていました。
【セキュリティ意識】Yahoo! JAPAN ID(アカウント)登録
あと、Yahooの2段階認証ってテストした時に発見した裏ワザ的なものなんですよね(Yahoo以外のアプリで読み取れないけどコードを手動で入れればOKの部分)。
なので、Yahoo以外のアプリで2段階認証コードを取得すること自体をYahooが認識していないかも。
どちらにせよ、使われていないYahoo専用アプリはどうでもいいので、2段階認証コードだけは発行してほしいですね。
それならアプリ維持費みたいなのもかからないだろうし。
そもそもYahoo専用ワンタイムパスワードアプリってなんなの(;`O´)o
このまま他の企業のワンタイムパスワード専用アプリも、滅んでくれないかな……
Yahooウォレットの名前は偽名で問題無いでしょうか?
ええとですね、「言えない」です( Ꙭ)
最終判断は私ではなく、自分でする必要にあるのがポイントでございます。
おっと、こんなところに謎の記事が……
参考【合法】正しく偽名・偽個人情報を入力して本名を守る
yahoo IDに不正アクセスをされ被害にあった者です。(現在進行形です)
設定パスが甘かったのが原因の一つなので自分が悪い面もありますが…
シークレットIDとワンタイムパスワードを設定したのですが
二度目の不正ログインで双方解除されており恐怖です。
メールアドレスからの不正アクセスだと意味なしのようですね…
ところで、
「SMS設定してもSMS認証なしでログイン可能なバグのため」
とはどういうことでしょうか。
yahooからはSMS認証とパスの無効設定をすすめられそうしたのですが、
余計なことをしてしまったのでしょうか?
今は何をやっても破られるような気がして恐怖です…
なんと(;`O´)
「パスワードが誕生日レベル」から「まったくわからないレベル」に変更されたのかわかりませんが、まったくわからないレベルに変更して再度ログインされた場合は何らかの追跡がされているような気がします(スパイウェアやキーロガーみたいな)。
いわゆるウイルス感染されていると何でもアリなことをやられるということです。
いまのところ感染の疑いがあるので、手当り次第……というより当サイトで紹介したMalwarebytesでスキャンしてみてください。14日間無料ですし、そのまま使い続けても無料で使えます。
すでに作成した記事なので、わかりにくいところがあれば記事の方を参考にしてインストールしてみてください。
参考【SSS】海外の評判上々!日本語のMalwarebytesで保護階層追加
それ以外のセキュリティソフトも通常体験版や一時的に無料で使えるのが多々あるので、最低でも2つほど現在使用中とは別のソフトでスキャンしてみるといいです。
検出率の高いKasperskyかBitdefenderあたりがおすすめ。
ただ、ウイルス(マルウェア)じゃなかった場合の原因が存在しすぎて、それ以外だった場合助けられないかもしれません(盗み見とか特に原因だと察知しづらい)。
他にあるとしたら、拡張機能が確率高いようなきがします。
一度変な拡張機能がないか(閲覧履歴を不正に使っていないか!!!)、一つずつ検索して調べるしかないかもしれません。通常はGoogleChromeなりFirefoxなり、運営側が発覚次第使えなくするにはするのですが、入ったままで暗躍するケースもあるので。
停止していたとしても暗躍するケースもあるので、一つずつ該当の拡張機能名を検索 → 最近トラブルがなかったかどうかを確認することをおすすめします。
ただ、Yahooだけなのでしょうか? 上記のケースを想定すると、ヤフーだけでは済まないのでマルウェアが原因じゃない可能性が上がるような……。
ちょっと詳しく聞きたいです。
現在はメールでの2段階認証を使用でしょうか?
できればアプリの方に切り替え、ログイン履歴をしばらく観察してみてください。
参考ログイン履歴 – Yahoo! JAPAN IDガイド
どれが自分かわかるように、時間帯を確認するのがコツです。ワンタイムパスワード発動なんかも確認できるようです。
あまり覚えていないのですが、「SMS認証を設定したのに、なぜかSMS認証なしでログインできた」からそのような文章を書いたような気がします。
現在正常かどうか不明です。そもそも私の確認不足の可能性もありますが。
上記ページにお問い合わせがあるので、一度問い合わせてどうにかして変更させてもらう必要があるかもしれません……。
とりあえずはアプリによる2段階認証を設定し(この記事だと別のアプリを使用していますが、この際公式のアプリの方がいいかも)、ログイン履歴を見て安全を確認するか(最低1ヶ月?)、いっそのこと新しく「実験的に作成」し、そちらで安全が確認出来次第移転するべきかもしれません。
新しくアカウントを作成する場合は「秘密の質問なし」の状態で作成できますし、「秘密の質問あり」の場合はパスワード管理ソフト生成レベルの謎文字列をおすすめします。
参考【セキュリティ意識】Yahoo! JAPAN ID(アカウント)登録
解決しなければ、わかる範囲でガンガン私の知識を参照して解決方法を提示させていただきます。
さらなる追記:そもそも秘密の質問でワンタイムパスワードが発動するのか、スキップできてしまうのかわからないのでした。
そうなるともうそのアカウントはすごく気持ち悪いので、新しく作り直すのを半強制的に迫られてると思います。
とりあえずすることの順序まとめ。
いろいろ教えていただきありがとうございます。
これまでの顛末は以下の通りです。
・突然全く覚えのないヤフオク落札通知が来る
・確認するとTポイント3万ポイント分を使われていた
・ログイン履歴から不正アクセスを確認しyahooに連絡、ヤフオク機能停止
・シークレットIDとワンタイムパスワード設定
・二週間後、何もしていないのにワンタイムパスワード通知が3度来る
・シークレットIDでログインしようとするとありませんと表示
・従来のIDでログインするとシークレットIDとワンタイムパスワードが未設定に
・ログイン履歴で不正アクセスを確認
・SMS認証設定をしパスワード無効設定しようとするとなぜかすでにされていた
・教えていただいたセキュリティソフトを入れスキャン中に今まで入れていたNTTのセキュリティソフトが
今頃スパイウェアを発見し駆除しましたと表示(リアルタイムで見てくれてなかったのか…)
ということで、やはりウイルス感染だった可能性が高いです。
教えていただかなければそれすら気づかないとこでした…
yahooはTポイント以外何も支払い系に使っていないのでこれ以外は(今のところ)被害はないです。
しかしyahooから調査中なのでIDを消さないでくれと言われているので最終的に解決するまで様子見です。
しばらくこのままで、また何かあったら書き込みします。
お手数おかけしましたm(__)m
ちなみに引っかかったウイルスはPUA.Win32.MyWebSearch.GBてやつです。
トレンドマイクロのページにも情報がありました。
ホントにこれのせいなのかはわかりませんが…
普通は対応と検証の仕方を知らないので、アシストは無条件でします∩(・∀・∩ 抜けがあった場合はアレですが……。
なるほど。Yahoo待ちー
私も詳しくわかりませんが、ブラウザハイジャッカーっぽいですね。検索エンジンが乗っ取られるやつです。ツールバーとかも?
MyWebSearchで検索するとそのようなものが結構でてきましたが、アドウェア系なのでスパイとして機能しているか微妙であり、情報漏えいの可能性は微妙かもしれません。
どちらにしても様子見でした(゚~゚o) 続報待ちます。
確認コードばかり銀行じゃあるまいしやり過ぎメールは
迷惑メールの山 idとパスワードで簡潔化携帯のメール代かかる
ちょっとわからなかったので以下のように改行し、「言いたいことはこれだ!」と想定して返答させていただきます∩(・∀・∩
以上です。
2段階認証の導入は確かに億劫ですが、効果はあるので是非試してみてください∩(・∀・∩