パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤフオクでID乗っ取り被害、ヤフーとのトラブルも急増。」記事へのコメント

  • > なお、今のところヤフオクからのお知らせなどにも件の事件に関する記述は無い。

    9/6(土)に、「Yahoo! JAPAN IDの不正利用に関する報道について」というタイトルの発表があり、
    オークションのトップページにリンクが貼ってありました。
    http://auctions.yahoo.co.jp/phtml/auc/jp/notice/20080906.html [yahoo.co.jp]

    とりあえず気になる人はログイン履歴 [yahoo.co.jp]を確認して、身に覚えのないログインの要求がないかどうか、
    確認してみてはいかがでしょうか。過去のログイン履歴を60件まで確認可能です。
    --
    I'm out of my mind, but feel free to leave a comment.
    • by hohehohe (11394) on 2008年09月07日 10時30分 (#1416717)
      > とりあえず気になる人はログイン履歴を確認して、身に覚えのないログインの要求がないかどうか、
      > 確認してみてはいかがでしょうか。過去のログイン履歴を60件まで確認可能です。

      うわー。サイトの正当性確認しようとしないで無条件にIDとパスワード入れて確認しようとしちゃったよ。
      これってフィッシング詐欺だったら完全にひっかかってるよね。気をつけねば。

      #もちろんrxk14007さんが詐欺してるって意味ではありません(ねんのため)
      #リンク先はyahooトップページから「ログイン履歴を確認」でたどれる場所です。
      --
      AVG anti-virus data base out of date
      親コメント
    • by Anonymous Coward on 2008年09月07日 20時17分 (#1416938)
      > ログイン履歴を確認して、身に覚えのないログインの要求がないかどうか

      携帯電話を使っておらず普通の計算機からしかログインしていないのですが、IPv4アドレスと時刻が表示されますね。
      これは一般的なヤフオクユーザが理解できるのでしょうか?
      dig(or nslookup)やwhoisやgeoiplookupを使用して自分が使っているISPかどうか、在住国以外からの接続があるかどうかを確認するということは、少々知識がないと難しいような...
      親コメント
  • by Anonymous Coward on 2008年09月07日 11時53分 (#1416746)
    漏れたルートがアクティブな利用者のものを対象にしたものならば確認させやすそうですが、
    チョコっと利用してそのまま休眠アカウントになっているものもたくさんありそうな気がする。
    今後訴訟等に発展する可能性がありそうですが、偽ブランド品とか出品禁止っぽいのものでも
    杓子定規に手数料料請求ってなんなんだろうな。
    杓子定規にやるならいっそ出品者と落札者のアカウント停止ぐらいやってくれればGJと思うけど。

    #ネット通販はよく利用するが、ネットオークションはリスクとメリットが割に合わないと思うので利用しない主義
    #オークションが生まれる以前のネット個人間取引はよくやってたけど、あれは信頼を築いてからだったからね
    • 携帯連動やニュース閲覧のためにアカウントをもっているんでありますが

      ヤフオクでは購入しかしたことが無い場合でも、出品されてないか注意深く確認しなきゃ駄目なのかな
      ちょっと確認したかぎりは問題なさそうでありましたが……

      −−−−−
      札幌でなかなか手に入らないジャンクな品物を落札していたのでID
      今は業者出品すぎる……
      親コメント
      • by ngk (11643) on 2008年09月07日 15時29分 (#1416843) 日記
        >出品されてないか注意深く確認しなきゃ

        出品すると確認メールが届きます。
        親コメント
        • >>出品されてないか注意深く確認しなきゃ
          >出品すると確認メールが届きます。

           YOMIURI ONLINE の記事によれば、それらのメールが届くような間はメールアドレスが変更されていたようです。出品時と終了時にメールアドレスが変更されていれば、「出品者への質問」や「違反商品の申告」でもなければ、知らぬうちに出品されてそれが終了いることには、メールでは気づかないでしょう。

           「注意深く確認」するには、マイオークションの「出品中」や「終了分」を見るべきかな。
          親コメント
          • YOMIURI ONLINE の記事には、「出品の際にヤフーから出品者に届く確認のメールも、この時間だけ別のアドレスに届くように変更されていたことも分かった。」とあります。
             何故、わざわざ一時だけ変更して、(おそらく)それ以外は元に戻していたか?と疑問に思いました。

             たぶん、以下のような理由なのでしょう。
            ・フィッシングでIDとパスワードを取得するなら、その利用者はそれなりにアクティブな利用者である必要がある。(でないと、IDとパスワードを打ち込む機会がない)
            ・アクティブな利用者であれば、身に覚えのない「Yahoo!オークションにご出品いただき、ありがとうございました。」のメールが届けば、犯行に気づく。
            ・アクティブな利用者であれば、届くはずのメールが届かなければ、なにかおかしいと気づく。

             アクティブな利用者でも落札しかしない利用者であれば、知らぬうちに出品されていても、それにしばらく気づかないでしょう。落札しかしないのであれば、「マイオークション」の「出品中」「出品終了分」は見ないでしょうから。
             また、落札しかしないのか・落札も出品もするのか・出品しかしないのかは、「評価」を見ればほぼ一目瞭然です。また、IDとパスワードがあるのなら、「出品中」「出品終了分」だって見れます。犯人の立場で考えれば、「出品での評価」が0の利用者が狙い目でしょうね。

            #(たぶん)フィッシングで取得したID・パスワードを使い潰すつもりならそんな面倒なことをする必要はないはず。
            #それぐらいの手間は掛けて大切に使う必要があるぐらいには、そんなID・パスワードは貴重なのかも。
            親コメント
        • by Anonymous Coward on 2008年09月07日 16時20分 (#1416862)
          元記事からの引用で、
          > 出品の際にヤフーから出品者に届く確認のメールも、この時間だけ別のアドレスに届くように変更されていたことも分かった。
          だそうなので、確認メールは無意味でしたね。

          確認メールの通知先を変更すると、元のアドレスに認証メールが届いて、指定のURLをクリックすると完了、
          とかないのでしょうか。
          元のアドレスがあぼーんしてしまったら、郵送による確認書類の送付と返信を義務つけるとかすれば、
          今回のような国外からの不正手続きは防止できたのかも、と。
          親コメント
        • by Anonymous Coward on 2008年09月07日 16時04分 (#1416857)
          アカウントを乗っ取られてるのなら、メールの宛先が一時的に変えられてる可能性もあるのでは。
          親コメント
      •  出品も5000円以上での入札もしないのであれば、Yahoo!プレミアム会員登録(294円/月)を解除してしまうのもありでしょう。

        P.S.
        >今は業者出品すぎる……

         条件で絞り込む・出品者(一般)で、どこでもWeb通販で買えそうな新品をうじゃうじゃ出品している業者の出品はだいぶ減ります。
         それでも非ストアでうじゃうじゃ出品しているのはどうにもならないのと、面白いジャンクを扱うストアのも見えなくなるのは難点ですが。
        親コメント
    • by Anonymous Coward
      >>漏れたルートがアクティブな利用者のものを対象にしたものならば確認させやすそうですが、

      出品には住所確認やウォレット登録が必要なので、某掲示板ではYBBユーザ狙い撃ちの可能性が高いとの事です

      最近のYBBユーザID自体はとても規則性が有る物が強制割り当てのようで、その事も問題視されています
      (初期パスワードにも規則性があったリして?!)
  • by hororo (29482) on 2008年09月07日 14時24分 (#1416821)
    銀行などだと暗証番号を3回間違えると口座がロックされるようですが、ヤフオクにだいぶ以前この事をサポートに聞いたことがありますが、何回間違えてもロックはされないとの事でした。恐ろしくなって、休眠のIDを全て解除した覚えがあります。

    現在ではどうなっているかお知りの方はいますでしょうか?
    • by Anonymous Coward on 2008年09月07日 15時01分 (#1416835)
      アカウントロックは自分も必要だと思ったんですが,
      たとえばオークションで競り合っているときに, 競合者のアカウントをわざとロックさせるなんてことが
      可能になるので難しいのかなと思いました.

      最近は次点落札詐欺の対策でオークション主しか入札者アカウントは見えないようになっているので,
      ロックも可能だと思われますが.
      親コメント
      • by Anonymous Coward
        > 最近は次点落札詐欺の対策でオークション主しか入札者アカウントは見えないようになっているので,
        > ロックも可能だと思われますが.

        入札者からも他の入札者見えますよね?
        久しぶりに利用して「おっ、アカウントが一部マスクされるようになったか」
        と思ったら、他の入札者からは丸見えと気がついて脱力。

        なので、アカウントロックは難しいと思います。
        ただ、ロックやIPフィルタはオプションでつけて欲しいですね。
    • by Anonymous Coward
      >>銀行などだと暗証番号を3回間違えると口座がロックされるようですが、
      犯人は、使えさえすれば誰のIDでも良いのだから
      PWを固定にして、毎回IDを替えてアタックする
      そうすれば、3回でロックする対策なんか関係ない
      • by hororo (29482) on 2008年09月07日 22時18分 (#1416977)
        >>PWを固定にして、毎回IDを替えてアタックする

        この場合、PWが英数字大小を含む58種の場合で6桁ある時には
        どのくらいの人数がヒットするのでしょうか?

        ヤフオクの会員数が700万人として、総当りした場合
        何人くらいでしょうか?

        700万÷(58*58*58*58*58*58)でよろしいでしょうか?
        詳しい方よろしくお願いします。
        親コメント
        • by Anonymous Coward
          どうせ頻繁に使われる文字列で辞書攻撃しても当たるユーザはそれなりにいるから
          そういう網羅的な計算は意味が無い。文字列としてのヒット率バリューみたいな視点で
          考えなきゃ駄目よ。文字列といっても意味のあるものと無いものじゃ、その手の
          バリューは大きく異なるのだから。
          • それはそうでしょうが、、ID乗っ取りの被害者をなくす事ではなくて、自分が被害者になりたくないので、、、、自分を守る方策としてネット銀行みたいにIDのロックや、接続IPアドレスの制限等をしてくれると良いという考えです。
            親コメント
  • by Anonymous Coward on 2008年09月07日 21時26分 (#1416961)
    話題とはずれてしまうかもしれないけど、
    この機会に疑問に思ってたので聞いてみたい。

    ヤフオク関連のぺージのURLスキームがhttpsじゃなくてhttpなんだけど、これって安全なの?
    HTTPSが「WebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎない」 [wikipedia.org]ってことぐらいは
    知っているけど、ヤフオク内の取引ナビ(出品者・落札者同士で連絡するためのメッセージボード)で
    住所や電話番号を送っているので、若干不安がある。

    教えて、偉い人。
    • ちょっと補足的に。
      「WebブラウザとWebサーバの間の通信を暗号化して、盗聴を防いでいるに過ぎない」
      ってリンク先にも書いてありますが、一応、証明書を用いているわけで、通信相手のサーバが
      正当な物であるかのある程度の判断もする事が出来ます。って/.Jでも過去のストーリーで何度も
      出てるわけですが・・・オレオレ証明書の問題とか。

      で、Yahooが全面的にSSLにしないのはサーバインフラの負荷を鑑みて、でしょうね。
      SSLは通常のHTTPよりも処理が重いので・・・
      一昔前はサーバのネットワーク上位に設置する"SSLアクセラレータ"なるアプライアンスまで存在してましたよ。
      (今も有るのかな?)

      リソースが足りないから/コストが掛かるから、という理由で利用者の安全性を軽視して良い事には
      ならないとは思いますけど、あの会社の姿勢と経済原則から照らして、不思議ではないでしょう。

      ちなみに、HTTPで住所や電話番号を送信するのは普通に考えて危険です。
      もしXSS脆弱性があり、それを利用したフィッシングサイトに誘導された場合なんかは一発です。
      (大抵のブラウザはSSL使用サイトからならサイト外に飛んだことをユーザに警告してくれる。)

      そうでなく、正当なサーバとの通信を行っている、という前提であれば、通常の平文メールに住所や
      電話番号を書くのと同程度の危険性と思って良いと思います。つまり普通に危険です。

      特に、出所不明もしくは悪意のあるProxyを使っていた場合は完全にクロです。
      勝手にProxyを設定するマルウェアなんかもあるかもしれませんから、定期的ブラウザのProxy設定を
      チェックしたほうがいいかもしれませんね。
      親コメント
      • by Anonymous Coward
        >通信相手のサーバが正当な物であるかのある程度の判断もする事が出来ます

        ある程度、ていうのはどの程度ですか?
        URL に対する本物のサーバであることが証明されるのは知っていますし、
        証明書を参照すれば認証局に届け出たサーバ管理者の名前が書かれているのも分かります。
        でもサイトの名前と全然違う名前だったり、
        あるいはググって見つけた聞いたことのない名前のサイトだったりした場合、
        そのサーバが正当な物であるかどうかを、
        くれぐれも「本物の」サーバ証明書を持つフィッシングサイト [srad.jp]などではないことを、
        どうやったらどの程度
        • 返事が遅くなってすみません。(さすがに会社から投稿というわけにも行かないので)

          一般論的な部分は、
          こちら [verisign.co.jp]をご覧下さい。

          しかし、残念ながら、”「本物の」サーバ証明書を持つフィッシングサイト”などと言う物
          に対抗する事は、通常のSSLの機能だけでは無理です。

          もちろん、サーバ証明書の発行元を目視で確認後、その発行元の情報を調査し、かつ、既
          にその発行方法に問題がある事が公表されている、と言った条件が揃えば、どうもあやし
          い、ぐらいの見当は付くかもしれませんが、いちいちそんなことを調べるほど慎重な人な
          ど見た事がありませんから、上記ケースでは、事実上SSLの認証機能は無力化されていると
          見て良いと思います。

          また、上記の件とは別件で、アプリケーション署名用の証明書ですが、2001年にVerisign
          が誤って「Microsoft Corporation」の署名が入った証明書を個人に発行してしまった事例が
          あります。
          VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 (MS01-017) [microsoft.com]

          この例などは、MicrosoftまたはVerisignからの公表やパッチの提供が無ければ、目視で
          あっても厳密に技術的な意味であっても正規の証明書とまったく区別がつかないでしょう。

          SSLのサーバ証明書で証明できるのは、そのサーバ証明書自体が、ブラウザに登録された
          ルート証明書の発行元となっている認証局で認証されたか、または、ルート証明書発行
          元の認証局に認証された中間認証局が認証した物であるという事です。
          じゃあ、その認証局は何を見て認証しているんだ?と言う話になると、それは個別に調べ
          るか問い合わせるしか無い、と言う話になってしまうので、”どのような条件で発行され
          たか”は不明である、と言えます。

          この暗号の仕組み自体が破られ、”技術的に偽造された証明書”が使用された、という例
          は聞いた事がありませんので、上記の部分に関してだけは、今のところ確かだと思って良
          いんじゃないでしょうか。

          また、Flashで作られたログインフォームのSSLに関してですが、私はFlashに明るくないの
          でちょろっと調べてみたところ、

          1、Flashでログインフォームを実装した場合、サーバとの通信はActionScriptで行う。
          2、ActionScriptは、SSLでの通信も素のHTTPでの通信でも、どちらでも指定できる。
          3、ActionScriptがどちらのメソッドを利用して通信しているかは、Plugin内のみで決定さ
            れ、ブラウザには表示されない。
          4、ただし、ActionScriptでSSLを指定しているにも関わらず、サーバ証明書に不備があった
            場合、警告メッセージの表示ではなく、単に動作しないかエラー終了となる。
          5、ブラウザのSSL表示機能は、単にFlashファイル(*.swf)がSSLで転送されていれば鍵マー
            クの表示がなされ、通常のHTTPでswfを転送すれば、鍵マークは表示されない。
           (か、開いたまま)
            これは、実際にID/PASSがどちらのメソッドで転送されているかとはまったく関係が無い。

          と言う事のようです。つまり、そのログインフォームの作者の意思次第であり、それをサイト
          のユーザが知るにはパケットキャプチャなどで調査するしか無いようです。
          私なら、Flashでログイン画面を実装したサイトの利用は単に見合わせます。
          (私自身元々Flashアレルギー気味ですが)

          と、言う感じなんですが、合格点はいただけますでしょうか?>親コメントAC様
          親コメント
    • by Anonymous Coward
      安全なわけないでしょう。セキュリティ軽視の会社だからしょうがないですよ。
      そういうもんです。問題が起きなければ対処することはないでしょう。

      もっとも、以前はメールでのやり取りで同様の情報を送りうけしていたわけで、
      それと比べると大差ありません。
      • by Anonymous Coward
        セキュリティを軽視しているというよりも、まともな人間が逃げすぎてセキュリティを維持できないのでは…
  • by Anonymous Coward on 2008年09月08日 0時28分 (#1417017)
    おもいっきりオフトピだが。

    前にヤフオクで落札手数料が無料なキャンペーンをやってたので、その期間だけ利用してみた。
    ところが手数料を請求された。
    期間を勘違いしたかと何度もチェックしたが間違っておらず、同期間内で落札した他の物に対しては請求されていなかった。
    納得できないのでメールで問い合わせたが、問題に対する回答はなく、ただただ請求するのみ。
    そうこうしているうちにIDが使えなくなり、過去の取引履歴の参照すらできなくなって、具体的な話もできなくなった。まぁこれは早いうちに控えなかったこちらもボケだが。
    そしてヤフーはこの「債権」を売りましたとさ。

    で、ここまでは正直どうでもいいやと思っていたんだが、偶然、職場の同僚が同じ経験をしてるのを知った時には、さすがになんだかなと思ったよ。
    • by Anonymous Coward
      /納得できないのでメールで問い合わせたが、
      /問題に対する回答はなく、
      /ただただ請求するのみ。
      /そうこうしているうちにIDが使えなくなり、
      /過去の取引履歴の参照すらできなくなって、
      /具体的な話もできなくなった。
      あのキャンペーンでこんな事が起こっていたのですね。 あの時、私は入札していませんですが、 この事象って、各個人のみで終わってしまう可能性大の話。 ヤフオク運営側と提供サービスの怖さを知った次第です。 情報ありがとう。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...