【Yahoo!不正アクセス対策】2段階認証とシークレットIDで守る

やらない人から食われる!

Yahoo! JAPAN ID(アカウントのこと)は公開情報であり、メールアドレスとヤフオクで思いっきり見えている(元々そういう仕様)。

このIDは「ログインにも使える」ため、実質ログインに必要なのはパスワードのみ

パスワードだけだと不安なので、「2段階認証で無理やり記号を含めた64桁になるほどの底上げ」と「ログインに使用するYahoo! JAPAN IDをシークレットIDに変更」して、最新の技術で守っていこう。

まだ複数登録可能なYahoo! JAPAN IDを持っていないなら以下参照。

スポンサーリンク

登録情報

Yahoo! JAPANにアクセスしたら、右側に「登録情報」があるのでクリック。

ログインしていない場合は情報を入力し、ログインしていこう。
登録情報をクリック

登録情報が表示されたら「ログインとセキュリティ」に進む。

ログインとセキュリティへ進む
スポンサーリンク

ログインとセキュリティ

ワンタイムパスワードとシークレットIDの項目にたどり着いたら、番号どおりに進めていこう。

ワンタイムパスワードへ先に進む

なお、

  • 確認コードでログイン(SMS):設定してもSMS認証なしでログイン可能なバグ?のため無視
  • 確認コードでログイン(メール):ワンタイムパスワードから設定するので無視
  • ログインアラート:侵入されないように強固にするため無視
  • メールアドレスログイン:ワンタイムパスワード設定時に強制的に設定するので無視

ワンタイムパスワード(2段階認証)

追記:2021年2月5日

Yahooワンタイムパスワードアプリが廃止に伴い、Yahoo専用アプリを使わない2段階認証コードの取得そのものもできなくなった。要するに現在はメールかSMS認証の2つしかない。

Yahooはアプリ・メールどちらかを2段階認証として使うことができる。

2段階認証とは、ログイン情報の他に1回限り有効な使い捨てパスワードを追加する。

将来を考えるとアプリで実装したほうが良いので、オススメな2つのアプリのどちらかをインストールしてこよう。

ちなみに、2段階認証アプリのみの設定はできず、紛失したときのための復帰用メールアドレス(Yahooメール不可)が別に必要。

2段階認証アプリはAmazonGoogleTwitterなどで当然のように使える。

どうしてもアプリで2段階認証を設定できないならメールで2段階認証まで読み飛ばそう。

準備ができたら「ワンタイムパスワード」をクリックし、「アプリ」を選択。

アプリを選択

聞いたことのないYahooワンタイムパスワードアプリの使用を促されるが完全無視し、さきほど紹介したAuthy・IIJ SmartKeyのどちらかを使おう。

ただし、Authy・IIJ SmartKey・Google 認証システムで読み取り(スキャン)は無効。意地でもYahooアプリを使いたくないので、スマホの方は登録コードをコピーして貼り付け!
パソコンの方は登録コードをコピー → QRのススメに貼り付けてQRコード作成 → スマホで読み取り登録コードをコピー → 下記手順でアプリに登録コードを貼り付け。共有パソコンの方はプライベートブラウジングでQRを作成しよう。

各アプリの登録コード(別名シークレットキー)手動入力機能の場所は以下のとおり。

  • Google 認証システム:「+」→「セットアップキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」
登録コードをコピーしてアプリに貼り付けし、6桁のコードを入力

次に、「復帰用メールアドレスの選択」を迫られる。

この記事はメールアドレスを一つも登録していない前提で進むので「メールアドレスの追加・編集」をクリックしていく。

すでにメアドが表示されていてそのメアドを復帰用にするなら「設定」をクリック。これでアプリでの2段階認証が終了するため、次のシークレットIDまで読み飛ばそう。
メールアドレスの追加・編集へ進む

Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。

メールアドレスを追加する(Yahoo不可)
メールアドレスログイン設定のチェックを外して送信
後で紹介するシークレットIDのみでのログインに絞りたいため、必ずチェックを外す。

以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。

確認コード入力

これで復帰用メールの登録だけ(まだ終わっていない)が完了したので、「ご利用中のサービスに戻る」へ進む。

追加完了なので戻る

さきほど追加したメールを「復帰用メールアドレス」に設定。

設定を押す

最後に「ご利用中のサービスに戻る」をクリック。

設定完了なのでご利用中のサービスに戻る

これで「2段階認証アプリに表示された6桁のコードを入力する作業」が増えて激烈に安全になった。

次の2段階認証を設定しないので、さらにセキュリティを高めるシークレットIDまで読み飛ばそう。

メールで2段階認証

ワンタイムパスワード受信用メアドと、そのメアドにアクセスできなくなった際の復帰用メアドの2種類が必要で、どちらもYahooメールが使えないため他サービスのメアドが2つ必須。

①のワンタイムパスワードへ進む。

ワンタイムパスワードへ先に進む

メールを選択し、「メールアドレスの追加・編集」をクリック。

ここでは1つもメアドを登録していない前提で進めていくが、1つだけだとどっちみち進めないので2つ登録していく。

メールを選択
メールアドレスの追加・編集

Yahooメールは追加できないので、①Gmailなど別サービスメアドを追加 → ②「メールアドレスログイン設定」のチェックを外す → ③送信。

メアドを追加(Yahoo以外)
メールアドレスログイン設定のチェックを外して送信
後で紹介するシークレットIDのみでのログインに絞りたいため、必ずチェックを外す。

以下のような表示がでたらメールを確認してコードを入力し、届かないなら「迷惑メールフォルダをチェック」か「@mail.yahoo.co.jp」を受信できるように再度送信しなおそう。

確認コードを入力

これで下の画像のように1つ登録した状態になったが、例のごとく2つ必要なのでもう1つ登録してこよう。

2つ準備でき次第、「ご利用中のサービスに戻る」をクリック。

追加完了なので戻る
2つ表示された状態にしよう!

そして、2つのうちどちらかを「ログインするたびワンタイムパスワードを受信したいメアド」として選択して「送信」。

ログイン時にワンタイムパスワードを受信したいメアドへ送信

①メールに6桁のワンタイムパスワードを送信されるので入力 → ②個人端末ならチェック → ③送信。

ワンタイムパスワードを入力

そうするとさきほど設定した「復帰用メールアドレス」が表示されているので、そのまま「設定」をクリック。

追加したメアドを設定

最後に「ご利用中のサービスに戻る」をクリック。

完了したので、ご利用中のサービスに戻ろう

これで「受信したメールに表示された6桁のコードを入力する作業」が増えて安全になった。

シークレットID

公開情報のYahoo! JAPAN IDを使ったログインを今から設定するシークレットIDに変更することができ、非公開情報のIDでログインセキュリティを向上させることができる。

②のシークレットIDをクリックして設定していこう。

シークレットIDに進む

そうすると「Yahoo! JAPAN IDとニックネーム」になっている状態なので、シークレットIDに変更して画像のように設定していこう。

シークレットIDはログイン時にしか使わず、強固にすればするほど安全度は増す。だが、すでに2段階認証を設定しているならそこまで強固にする必要はない(公開情報ではないため)。
シークレットIDの登録をクリックして作成
とりあえず、他で使用していない文字列ならOK

2段階認証を設定していないなら、ID・パスワードの付け方の極意を習得するといい。

そうすると設定したシークレットIDを保存するように言われるので必ず保存!

作成したシークレットIDを保存

これで次回から「Yahoo! JAPAN IDとニックネーム」でのログインができなくなったので、絶対に忘れないよう暗号化されている理想的なパスワード管理ソフトにメモを推奨。

確認するため再度ログインしておこう。

ログインしてサービスに戻る

「連絡用メールアドレスと電話番号でのログインは可能」と書いてあるが、この記事で初めてメアドを登録したのなら「連絡用メールアドレスログイン」と「電話番号ログイン」は回避済だ。

「連絡用メールアドレスログイン」を無効化したいなら、シークレットID項目の上にある「メールアドレスログイン」を未設定に変えよう。なお、電話番号ログインは知らない。
スポンサーリンク

他のセキュリティ向上手段(捨てメアドなど)

Yahooメールは捨てメアド機能が付属しており、メインのアドレスに迷惑をかけない生贄にできるメールアドレスを、無料で10個まで作成可能だ。

これにより、捨てメアドを使っておきながらメインのアドレスに迷惑メールは一通もこない(フォルダーわけ必須)。

通常の捨てメアドサービスだと弾かれるケースはあるが、Yahooのネームバリューにより使えるケースが多々あるので、捨てメアドはYahooをオススメする。

もう一つアカウントを作りたいならこちら。もちろん新しい方でも捨てメアドを作成可能だ。

さらなるセキュリティ意識のレベルアップ・修行・答え合わせはこちら。

コメント

  1. 匿名 より:

    もう20年も前の事ですが。
    何かの拍子に姓が同じ他人のアカウントで入ったらしく?
    メール画面にびっくり!
    お医者さんだったみたいでメールの内容は患者さんからのもの。

    私は女だからまだ良かったかもしれませんが
    産婦人科の内容で、めっちゃ焦ってyahooに連絡しましたけど。

    yahoo対策はやりすぎくらいでいいと思います!

    • ぷっぷ より:

      怖っ( Ꙭ)
      別の件ではたまに聞くやつですけど(他の人に表示したページを、他の人が参照できちゃった系)、20年前にも似たようなのがあったのですね……
      本当、悪い人に見られなくてよかった!

  2. なかむーら より:

    はじめまして。
    情報が楽しくついついやりすぎ始めています。
    今回、Yahooに関する設定をこの頁を参考に見直していたところアプリによる二段階認証が選択できなくなったようなので情報提供です。
    今後、旧来のアプリ認証がどの様になるのか分かりませんが、Yahooのワンタイムアプリ廃止の影響と思われます。現在はメールかSMSしか選べませんでした。
    記事や総務省の安心ハンドブックでSMSもメールも非推奨なので避けたいのですが・・・。選択肢としてアプリを残しておいて欲しかったです。とりあえずYahooに要望を送ってみます。

    https://id.yahoo.co.jp/security/otp.html

    • ぷっぷ より:

      ごめんなさい、この記事追記していなかったですね(´ε`;)
      こっちではもうSMSかメールしかないですよと、注意書きをしていました。
      【セキュリティ意識】Yahoo! JAPAN ID(アカウント)登録

      あと、Yahooの2段階認証ってテストした時に発見した裏ワザ的なものなんですよね(Yahoo以外のアプリで読み取れないけどコードを手動で入れればOKの部分)。
      なので、Yahoo以外のアプリで2段階認証コードを取得すること自体をYahooが認識していないかも。
      どちらにせよ、使われていないYahoo専用アプリはどうでもいいので、2段階認証コードだけは発行してほしいですね。
      それならアプリ維持費みたいなのもかからないだろうし。
      そもそもYahoo専用ワンタイムパスワードアプリってなんなの(;`O´)o
      このまま他の企業のワンタイムパスワード専用アプリも、滅んでくれないかな……

  3. トラトラトラ より:

    Yahooウォレットの名前は偽名で問題無いでしょうか?

  4. ダメネコ より:

    yahoo IDに不正アクセスをされ被害にあった者です。(現在進行形です)
    設定パスが甘かったのが原因の一つなので自分が悪い面もありますが…
    シークレットIDとワンタイムパスワードを設定したのですが
    二度目の不正ログインで双方解除されており恐怖です。
    メールアドレスからの不正アクセスだと意味なしのようですね…

    ところで、
    「SMS設定してもSMS認証なしでログイン可能なバグのため」
    とはどういうことでしょうか。
    yahooからはSMS認証とパスの無効設定をすすめられそうしたのですが、
    余計なことをしてしまったのでしょうか?
    今は何をやっても破られるような気がして恐怖です…

    • ぷっぷ より:

      なんと(;`O´)
      「パスワードが誕生日レベル」から「まったくわからないレベル」に変更されたのかわかりませんが、まったくわからないレベルに変更して再度ログインされた場合は何らかの追跡がされているような気がします(スパイウェアやキーロガーみたいな)。
      いわゆるウイルス感染されていると何でもアリなことをやられるということです。
      いまのところ感染の疑いがあるので、手当り次第……というより当サイトで紹介したMalwarebytesでスキャンしてみてください。14日間無料ですし、そのまま使い続けても無料で使えます。
      すでに作成した記事なので、わかりにくいところがあれば記事の方を参考にしてインストールしてみてください。
      参考【SSS】海外の評判上々!日本語のMalwarebytesで保護階層追加
      それ以外のセキュリティソフトも通常体験版や一時的に無料で使えるのが多々あるので、最低でも2つほど現在使用中とは別のソフトでスキャンしてみるといいです。
      検出率の高いKasperskyBitdefenderあたりがおすすめ。

      ただ、ウイルス(マルウェア)じゃなかった場合の原因が存在しすぎて、それ以外だった場合助けられないかもしれません(盗み見とか特に原因だと察知しづらい)。
      他にあるとしたら、拡張機能が確率高いようなきがします。
      一度変な拡張機能がないか(閲覧履歴を不正に使っていないか!!!)、一つずつ検索して調べるしかないかもしれません。通常はGoogleChromeなりFirefoxなり、運営側が発覚次第使えなくするにはするのですが、入ったままで暗躍するケースもあるので。
      停止していたとしても暗躍するケースもあるので、一つずつ該当の拡張機能名を検索 → 最近トラブルがなかったかどうかを確認することをおすすめします。
      ただ、Yahooだけなのでしょうか? 上記のケースを想定すると、ヤフーだけでは済まないのでマルウェアが原因じゃない可能性が上がるような……。

      メールアドレスからの不正アクセスだと意味なしのようですね…

      ちょっと詳しく聞きたいです。
      現在はメールでの2段階認証を使用でしょうか?
      できればアプリの方に切り替え、ログイン履歴をしばらく観察してみてください。
      参考ログイン履歴 – Yahoo! JAPAN IDガイド
      どれが自分かわかるように、時間帯を確認するのがコツです。ワンタイムパスワード発動なんかも確認できるようです。

      「SMS設定してもSMS認証なしでログイン可能なバグのため」
      とはどういうことでしょうか。

      あまり覚えていないのですが、「SMS認証を設定したのに、なぜかSMS認証なしでログインできた」からそのような文章を書いたような気がします。
      現在正常かどうか不明です。そもそも私の確認不足の可能性もありますが。

      追記:秘密の質問がかなり怪しいかもしれません。忘れていたのですが、秘密の質問は二度と変更することができません。一回漏れているのが確定しているのなら、その後もパスワード変更をしようが通過されるという点で一致しており、非常に怪しいです。

      上記ページにお問い合わせがあるので、一度問い合わせてどうにかして変更させてもらう必要があるかもしれません……。
      とりあえずはアプリによる2段階認証を設定し(この記事だと別のアプリを使用していますが、この際公式のアプリの方がいいかも)、ログイン履歴を見て安全を確認するか(最低1ヶ月?)、いっそのこと新しく「実験的に作成」し、そちらで安全が確認出来次第移転するべきかもしれません。
      新しくアカウントを作成する場合は「秘密の質問なし」の状態で作成できますし、「秘密の質問あり」の場合はパスワード管理ソフト生成レベルの謎文字列をおすすめします。
      参考【セキュリティ意識】Yahoo! JAPAN ID(アカウント)登録

      解決しなければ、わかる範囲でガンガン私の知識を参照して解決方法を提示させていただきます。

      • ぷっぷ より:

        さらなる追記:そもそも秘密の質問でワンタイムパスワードが発動するのか、スキップできてしまうのかわからないのでした。
        そうなるともうそのアカウントはすごく気持ち悪いので、新しく作り直すのを半強制的に迫られてると思います。
        とりあえずすることの順序まとめ。

        1. アプリでの2段階認証の設定
        2. 個人情報・支払情報系の悪用されると困るデータをすべて抹消・消せなければ偽情報で上書き
        3. Yahooに問い合わせをして秘密の質問を特別に変更することができるか(アカウント乗り換えするなら不要:原因特定・継続して使うなら必要)
        4. ログイン履歴を一定期間監視
        5. その間にセキュリティソフトでスキャン
        6. スキャン結果が問題なければ過去に設定した秘密の質問が激烈に怪しい
        7. 暇な時に拡張機能一つ一つ調査
        • ダメネコ より:

          いろいろ教えていただきありがとうございます。
          これまでの顛末は以下の通りです。

          ・突然全く覚えのないヤフオク落札通知が来る
          ・確認するとTポイント3万ポイント分を使われていた
          ・ログイン履歴から不正アクセスを確認しyahooに連絡、ヤフオク機能停止
          ・シークレットIDとワンタイムパスワード設定

          ・二週間後、何もしていないのにワンタイムパスワード通知が3度来る
          ・シークレットIDでログインしようとするとありませんと表示
          ・従来のIDでログインするとシークレットIDとワンタイムパスワードが未設定に
          ・ログイン履歴で不正アクセスを確認
          ・SMS認証設定をしパスワード無効設定しようとするとなぜかすでにされていた

          ・教えていただいたセキュリティソフトを入れスキャン中に今まで入れていたNTTのセキュリティソフトが
           今頃スパイウェアを発見し駆除しましたと表示(リアルタイムで見てくれてなかったのか…)

          ということで、やはりウイルス感染だった可能性が高いです。
          教えていただかなければそれすら気づかないとこでした…

          yahooはTポイント以外何も支払い系に使っていないのでこれ以外は(今のところ)被害はないです。
          しかしyahooから調査中なのでIDを消さないでくれと言われているので最終的に解決するまで様子見です。
          しばらくこのままで、また何かあったら書き込みします。
          お手数おかけしましたm(__)m

          • ダメネコ より:

            ちなみに引っかかったウイルスはPUA.Win32.MyWebSearch.GBてやつです。
            トレンドマイクロのページにも情報がありました。
            ホントにこれのせいなのかはわかりませんが…

          • ぷっぷ より:

            普通は対応と検証の仕方を知らないので、アシストは無条件でします∩(・∀・∩ 抜けがあった場合はアレですが……。

            yahooはTポイント以外何も支払い系に使っていないのでこれ以外は(今のところ)被害はないです。
            しかしyahooから調査中なのでIDを消さないでくれと言われているので最終的に解決するまで様子見です。

            なるほど。Yahoo待ちー

            ちなみに引っかかったウイルスはPUA.Win32.MyWebSearch.GBてやつです。
            トレンドマイクロのページにも情報がありました。

            私も詳しくわかりませんが、ブラウザハイジャッカーっぽいですね。検索エンジンが乗っ取られるやつです。ツールバーとかも?
            MyWebSearchで検索するとそのようなものが結構でてきましたが、アドウェア系なのでスパイとして機能しているか微妙であり、情報漏えいの可能性は微妙かもしれません。
            どちらにしても様子見でした(゚~゚o) 続報待ちます。

  5. 佐野泰 より:

    確認コードばかり銀行じゃあるまいしやり過ぎメールは
    迷惑メールの山 idとパスワードで簡潔化携帯のメール代かかる

    • ぷっぷ より:

      ちょっとわからなかったので以下のように改行し、「言いたいことはこれだ!」と想定して返答させていただきます∩(・∀・∩

      • 確認コードばかり銀行じゃあるまいしやり過ぎ:確認コードはアプリを使うため、アプリで一元管理レベルまで面倒を軽減することが可能です。やりすぎかどうかは否定できないですが、セキュリティは基本面倒とのトレードオフですので、そこの判断は任せます
      • メールは迷惑メールの山:漏洩確定されてるかと思います。一度Firefox Monitorで調べてみてください。なお、私は2年前にメアドを新しくした結果、一通も迷惑メールが来ていません
      • idとパスワードで簡潔化:さきほどのトレードオフの件と同じかな? セキュリティを強化するかは任せます
      • 携帯のメール代かかる:SMS認証のメールでしょうか?SMSの受信はほとんどのサービスで無料だったと思います(送信がかかる)

      以上です。
      2段階認証の導入は確かに億劫ですが、効果はあるので是非試してみてください∩(・∀・∩