不正ログインの検知

Yahoo! Japanが、自身のログイン履歴を参照できる機能を導入したそうです。

ITPro - ヤフー、第三者による不正ログインを早期発見する機能を提供

コンシューマ向けのサイトで、この種の機能を持つものは少ないですね。私はオンラインバンキングくらいしか知りません。

現実にYahoo!が多数の犯罪者の攻撃対象になってきている、それに伴ってYahoo!のセキュリティ対策の手法も、金融などの手法を取り入れて、変わりつつあるということなのだと思いました。

手法の変化というのは、従来の予防的な対策に加えて、不正検知(あるいは抑止)にも重きを置き始めたということを言っています。

実際に、Yahoo!オークションで、2005年末に不正検知のシステムを導入したとの記事もあります。

不正ログインの検知

今回Yahoo!が導入した機能では、不正の発見はユーザに任されています。ユーザ自身がトップページか履歴ページをチェックして、不正ログインを「検知」しなければなりません。

私を含め多くのユーザは、「なんかおかしい」と思わなければ、チェックしないでしょう(面倒くさいですから)。

不正ログインの検知という点では、Yahoo!側でも、ログインIDを変化させてログインを試行するタイプのブルートフォース攻撃を検知するなどの、基本的な対策はしてくれると嬉しいなと思います(もうやっているかもしれません)。

私もかつて、あるWebサイトの運営に関わっていました。Yahoo!の何分の1程度の規模のサイトでしたが、ログを見て判ったのは、その手の攻撃を仕掛ける人間は皆無ではないということです。

その他思ったこと

特定のサービスでのログイン履歴は閲覧できないようです。

Yahoo!モバイル(携帯電話)、メールソフト、クライアントアプリケーション(Yahoo!メッセンジャーYahoo!ウィジェット、MoneyLookなど)からのログインには対応していません。
ログイン履歴とは - Yahoo! JAPAN IDに関するヘルプ

色々とシステム上の都合があるのでしょう(きっと)。

この文で想起したのは、PC、携帯、POP、Applet、iアプリ、専用クライアントソフト、IVR(電話での自動音声応答)・・・ と、様々なチャネルでサービスを提供するサイトでの、パスワード設計の難しさです。

仮に、上に挙げたような様々なチャネルで同一のパスワードを使いまわすと、以下のような問題が発生するかもしれません。

  • パスワード保護レベル
    例えば、PCブラウザでは常にパスワードをSSLで暗号化しているのに、POPでは平文で流れるなど、保護レベルに差が出る。
  • ロックアウト戦略
    PCブラウザでは10回連続のパスワード誤りでロックアウトするのに、専用クライアントではロックアウトしないなど。あるいは、パスワード誤りのカウントが別個になされるなど。

かつて日本の銀行で、盗んだキャッシュカードの暗証番号の推測に、テレフォンバンキングのログイン機能が悪用された事件がありました(ネタ元は忘れました)。この事件では、ATMとテレフォンバンキングの暗証番号が同じで、テレフォンバンキングでのロックアウトルールが、ATMのそれよりも甘かったのを突かれたと記憶しています。

要は、チャネルを追加する際には、全体の安全性が低下しないよう考慮が必要です。しかし、明確なパスワードポリシーを欠いていると、その辺の考慮が不足する可能性があるので要注意だと思います。