パスワードが変えられなかった話

何日か前からYahooの認証コードが送られてきていた。
誰かがログインしようとして失敗しているのか?
IDを間違えて私のIDを入力したのか?

いずれにしても認証コードがなければログインは出来ないので、様子を見る事にした。
すると数日後、再度同じように認証コードが送られてきた。
間違いと言うよりアタックかな?
と言う事でアカウントAのパスワードを変えておく事にした。

手順に従いパスワードの無効・変更の設定をする。
するとパスワードの無効化は出来るのに、変更が出来ない。

結局一度SMS認証を設定した後で、再度パスワード認証にするという面倒な事になった。
SMS認証を設定した後であればパスワードの変更が出来た。

使っていないID、アカウントBもあったので、それもパスワードの変更をしておく事にする。
かなり以前に作ったIDで特別重要な情報は登録されていないはずだ。
たしか2段階認証も設定していなかったよなぁと思いながら、パスワード変更をする。
これも同じく、いや正確には同じではなく、SMS認証を設定しないとセキュリティ操作ができないみたいなメッセージが出た。

じゃあ設定すれば良いでしょと言う事で電話番号を入力すると、セキュリティ上?しばらく操作できません、みたいになった。
(詳細は覚えていない)
2週間ほどしてから、そういえばあのヤフーIDはどうなったかなとアクセスしてみると、不正な操作によりロックされたとなっている。
不正なログインアタックが繰り返されたのだろうか?
使っていなかったのでロックされたのは別に良いが、アカウントBに使った電話番号をアカウントAに戻す事にした。
するとその電話番号は不正な操作に使われたので、使えないよとなった。

ヤフーのロジックがどうなっているのか知らないが、私からしてみれば酷い話だ。
こうしたセキュリティチェックは、善良な使用者を排除し、悪い奴らは(それに注意しながら突破を試みるので)引っかからない。
一度不正な利用と表示されてロックされると、そこに設定した電話番号が使えなくなると書かれたものがあったのだが、それは余りにも乱暴だ。

ヤフーや楽天は従業員がIDを漏らす(売る)みたいな話も過去にはあったわけで、信頼性は低い。
更に不正ログインかそうでないかを証明する事が事実上不可能なのは、Googleアカウントにログインできなくなった時の本人証明が非常に面倒なのと同じだ。

アカウントBにはクレジットカード情報などは登録していなかったが、もし登録していた場合はアカウントへのログイン自体が出来なくなるので、そうした情報を消す事も出来なくなる。
これは以前から言われている事だが、ヤフーは改善していない。
まあソフトバンクだからねぇ、何を言っても無駄と言う事で、クレジットカードを登録するのなら要らないもの(解約しても困らないもの)にしておいた方が良い。
こうした消せないクレジットカード情報はヤフーに蓄えられている(ヤフーによれば、基本的には消去されないそうだ)ので、情報漏洩でも起きたら相当酷い事になる。

他の記事などを見ると2022年頃からヤフーIDの登録に電話番号を必須として、理由としてはセキュリティ(SMS認証)の為だとなっているそうだ。
私は電話番号登録無しで、メールによる二段階認証が出来ている。
これはIDを取った時期によって異なる可能性が大きく、ソフトバンクによる電話番号(と、回線契約事業者)収集だとも言われた。

なおアカウントAには未だに認証コードのSMSが来るので、ログインアタックが繰り返されていることになる。
アカウントBは(たぶん)誰もログインできない状態になっていると思うので、被害が起きる心配はない。
ヤフーは以前はIDを消すことが出来なかった。
ID登録数を競うみたいな、数字のかさ上げ手法だ。
今はIDを消すことが出来るが、不正利用の疑いでロックされたIDは消せない。

ソフトバンク絡みでもう一つ。
PayPay銀行に口座は持っているが、今まで使っていなかった。
PayPay銀行宛の振り込みがあったので、じゃあ使ってみようかとアプリを起動したら、トークンアプリがないからダメよとなった。

で、トークンアプリをインストールし設定していくと以下の表示になる。

トークンアプリを設定するには、トークンアプリが出すパスワードが必要なのだ。
ソフトバンクの馬鹿さ加減をどうにかしてよという感じ。
で、「ワンタイムパスワードを入力できない方」に進む。
いや、入力できなくてもシーケンスを進める事が出来るんだったら、トークンアプリは要らないんじゃないの?と突っ込みたくもなるのだが、ここでカードの番号と生年月日を入力すると登録が出来る。

登録はブラウザ上で行うので、トークンアプリとの整合性がとれない。
情報の受け渡しにもタイムラグがあるなど、やっぱりソフトバンクなんだなぁ。
なおトークンアプリを登録してから使えるようになるまでには24時間かかるそうだ。
使う予定のある方はお早めに。

コメント

タイトルとURLをコピーしました