ヤフオク・プレミアム会員に必須のyahooウォレットって極めて脆弱（対応策）

　ヤフオクのプレミアム会員費を自動決済するためだけにウォレットに入っていました。説明にも、ウォレットはIDのパスワードの他に、セキュリティキーの二重の安全対策になっているということで、被害に遭うことはないと思って何も対策をとっていませんでした。

　ところが、たまたまヤフーショッピングで買い物したら、「ウォレットで買い物しますか？」というボタンが出て、「はい」を押したら、セキュリティキーを押していないのに、ウォレットに登録してある名前、住所、クレジットカード情報がすべて表示されました。また、商品の届け先の変更についても、セキュリティーキー不要で、他人名に変更出来ることが分かりました。これじゃあ、誰でもなりすましを出来ると分かり、唖然としました。

　yahooのIDは、メール、オークション、ウォレットで共通ですが、本来は十分管理しなくてはならないIDも、オークションの場でさらされているので、誰でも他人のIDを知ることができます。したがって、パスワードさえ偶然あってしまえば、クレジットカードの制限額分、自由に買い物が可能になってしまいます。

　あまりの脆弱性に唖然としてしまいました。ウォレットは引き続き必要なので続けたいのですが、とりあえず考えたのは以下の対応です。

●登録している第一クレジットカード（限度額数十万円）を第二クレジットカード（限度額１０万円）に変更する。
●さらに限度額を１万円ぐらいに設定できそうな第三クレジットカードに加入し、それに変更する。
●yahooメールを外部では一切見ない。

　要するに、被害は避けようがないので、被害を最小限に食い止めるぐらいしか方法が思いつきません。

　何か対策を取られている方、被害に遭った方、そのほか関連情報等をいただければ幸いです。

No.5 ベストアンサー 回答者： korokoro17 回答日時： 2009/07/27 16:23

確かにYahooではIDについては秘匿すべき個人情報という扱いではありませんから、

このあたりは改善の余地があるかもしれません。
しかし、パスワードが偶然分かってしまえばという前提での議論になっていますが、
パスワードは32文字まで設定できます。
よほど安易なパスワードを使わない限り偶然分かってしまうものではありません。
結局パスワードの管理の問題であり、脆弱性とまではいえないのではないでしょうか。
ちなみに、YahooメールアドレスはIDとは別のものに変更できます。

また、Yahooショッピングでの「Yahoo!ウォレットに登録済みのクレジットカード 」での
決済はそれ以外のクレジットカードによる決済と同じ扱いです。
カード番号や送り先は渡されますが、Yahoo!ウォレットの決済システムは利用されていません。
Yahoo!ウォレットの明細にも載りません。

この回答へのお礼

　わかりやすい回答ありがとうございました。漠然としていた不安感が解消された気がします。３２文字はともかく、十数桁ぐらいのパスワードは確かに有効そうですね。また、ヤフーのメアドに１週間に１０００通ぐらいの迷惑メールが来ていたので、この際変更することにします。

お礼日時：2009/07/27 16:51

No.4 回答者： egg_moon 回答日時： 2009/07/27 13:22

3です

どこに問題があるのかもう一つ分かりません。
楽天など他の大手ショッピングサイトでも同様の手順です。
ログインしていれば届け先の変更は簡単に出来きますよ。
また、この手順ではウォレットの登録情報の開示や変更は出来ないですね。
要はIDとパスワードのセットを誰かに知られればやられる可能性があるという範囲です。
これは使う側の気のつけ方で変わってくる問題ですね。
まぁヤフーの場合は、他人のIDが割合簡単に手に入るので確かに問題はあります。最近はIDの一部がブラインドになって表示される方式が多くなっていると思いますが、全てのサービスでそうなのかは未確認です。

わたしは、オークション、買い物、その他のサービスでIDを使い分けています。
少なくとも、IDとメールアドレスのローカル部分は変更可能ですので全てのIDのものを変えておくのが普通です。

この回答へのお礼

　再度回答いただきありがとうございます。

　最初の質問文にも書きましたが、ヤフオクのプレミアム会員費を自動決済するためだけにウォレットに入っています。そもそもyahooショッピングは今までまったく使っておらず、今回初めて使ったので気がついた次第です。

　ちなみにわたしも楽天ショッピングはやりますが、ID登録はしておらず、毎回住所やカード情報を入力しています。

　また、通常は(1)他人がIDを知ることはかなり難しい、(2)その上パスワードがあるということですが、yahooの場合、(1)IDはヤフオクの出品者・落札者情報の欄にむきだしでころがっている、というところが心配の種です。自分のIDも例外ではありません。

お礼日時：2009/07/27 15:42

No.3 回答者： egg_moon 回答日時： 2009/07/27 12:02

ヤフーショッピングで買い物したら、「ウォレットで買い物しますか？」というボタンが出

→特に問題ないと思うのでどこのショップか補足してもらえませんか。
私が今まで買い物したところはこんなシステムではありませんでしたので。
今試してみましたが、そのような手順ではありませんでした。

この回答へのお礼

　そのショップ名を書くと、私の個人情報の観点からややためらうものがあるので、自分が注文したところと全然無関係の店舗のリンクを貼っておきます。

　全く任意で選びました。例えば以下のサイトから入ると、私が買ったショップとは表示が異なりますが、ほぼ同じです。IDを入れてから、

→お支払い方法を選択してください
→Yahoo!ウォレットに登録済みのクレジットカード

　を選択すると、送り先、クレジットカード情報（１２桁は伏せ字になっていますが）が出てきます。送り先を変更すれば、なりすましは可能です。（なお、IDを入れないと、ウォレット表示は出てきません）

　たぶん、多くのショップも同じじゃないでしょうか？

http://store.shopping.yahoo.co.jp/sagamiaudio/st …

　いずれもショップには何ら問題はなく、ヤフーのシステムのセキュリティに問題があるとしか言いようがありません。個人的には、ウォレットで買い物をする時は、さらにセキュリティキーを入力しないと、不十分かと思います。

　全くの邪推ですが、ヤフオクの場合は補償があるからウォレット購入の場合セキュリティキーを要求しているが、yahooショッピングの場合は補償がないので、ウォレット購入でセキュリティキーを要求していない、としか言いようがありません。

お礼日時：2009/07/27 12:33

No.2 回答者： yamato1957 回答日時： 2009/07/27 10:13

＞誰でも他人のIDを知ることができます。

その事象は貴方だけでは？。もしそれが事実なら大騒ぎになっていると思います。
貴方のＰＣの環境、ブラウザ環境がおかしいかウイルス感染の
疑いはないでしょうか？。

この回答へのお礼

　私は落札程度しか使っていないので、もしかして根本的なことを間違えているかもしれません。
　確認ですが、
　(1)ｙａｈｏｏメアド　（例：abcde＠yahoo.co.jp)
　(2)yahooのID　（例：abcde)
　(3)ヤフオクの出品者・落札者情報　（例：出品者　abcdeさん）
　等、(1)、(2)、(3)はどれも同じですよね？したがって、(1)または(3)が分かれば、あとは全部同じように入力すればいいですよね？

　もし、(1)や(3)を(2)と全く違うものにすることが出来れば、自分のIDを世間にさらすことがないので、私の懸念はかなり解消されるのですが（yahooショッピングでセキュリティキーが不要な部分については、まだ解消されませんが）。

(1)、(2)、(3)を全部異なるように設定出来るのでしょうか？

お礼日時：2009/07/27 11:14

No.1 回答者： monta47 回答日時： 2009/07/27 09:22

はじめまして、よろしく御願い致します。

ヤフオフには、オークション補償５０万円までの保障があります。
（下記サイトを参考下さい）
それを利用すれば、あまり気にしなくても良いと思われます。

あとは、定期的にパスワードを変更すれば良いと思います。

入札する時に、出品者様の評価を確認してから入札することが大切です。世の中、不況で詐欺目的でヤフオフを利用している人が増えてきています。

あきらかに、落札したものと違うものが送られてくることもあります。
こちらが、文句を言っても反対に脅されることもあります。

自分は、今無職なのであなたの家に出向いて話し合おうなど一日に何度も電話をかけてきて脅します。

こちらは、小額の問題なのでもうこれで結構ですと泣き泣き諦めるしかないのです。

今の不況で、ヤフオフで出品者様が増えています。悪いことを考えてお金を詐欺する人が急増しています。

くれぐれも、お取引は気をつけましょう。

参考URL：http://auctions.yahoo.co.jp/phtml/auc/jp/notice/ …

この回答へのお礼

　ありがとうございます。

＞＞ヤフオフには、オークション補償５０万円までの保障があります。
　→確かに、ヤフオクの方は問題ないと思います。ヤフオクのクレジットカード決済の場合には、セキュリティキーを入れる必要があるし。問題意識はyahooショッピングの方で、こちらはセキュリティキーは不要だし、おそらく補償はないと思われます。
　私の主な問題意識は、ヤフオクのためにウォレットは必要、しかし、ウォレットを持っているとyahooショッピングで悪用される、ということになります。

＞＞あとは、定期的にパスワードを変更すれば良いと思います。
　→そうですね。それが一番確実ですね。ただ、既に色々な会員等のパスワードだらけで、ほとんど管理の限界に来ているので、あまり変更したくないなあというのが正直なところです。

お礼日時：2009/07/27 11:02