重要なお知らせ

「教えて! goo」は2025年9月17日(水)をもちまして、サービスを終了いたします。詳細はこちら>

【GOLF me!】初月無料お試し

ヤフーIDの脆弱性について

締切済

今のヤフーIDのシステムにDDosなど、サービスを停止させることを目的としま攻撃者にとって有利な脆弱性はあるのでしょうか?
まずは前置きからですが、ここ2,3日でヤフーIDを3つbanされました。もちろん保有する電話番号3つ分のアカウントですし、何も不正利用はしていません。
1,2つめはヤフーフリマで商品を購入しようとしてpaypay連携をしようとして手こずって何度かログインし直したら次の日にまとめてban(まずアカウント作ったばかりでそれ以外のサービスはおろか、操作は何もしてないです)
3つめはお問い合わせフォームでこの脆弱性について質問したら次の日ban

ここで問題なのは1,2つめのアカウント停止の事象です。
まず1点目はbotなどを使用せずにログインを数回試すだけでアカウントを停止できたこと。
そして2点目は電話番号認証であることです。
つまりどういうことかと言うと、電話番号のパターンが070,080,090の3パターン×下七桁=3*823543=2470629なのでその数倍リクエストを送れば理論的には日本のユーザーほぼ全てをアカウント停止できるということ(もちろんその程度のリクエスト数はプログラム組めば余裕で送れます)
今回垢banくらった時は即時制限がかかったのでシステムが自動で制限かけてそうなのと、発信元のipは関係なさそうなのに加え、私と同様に身に覚えのないヤフーIDの凍結が行われたとの投稿が散見されるとこから、どこからでも第三者が他人のアカウントを凍結できそうな気がします。

さすがにあのヤフー様がこんな脆弱なシステムで運用はしてないとは思いますが...
もしヤフー様のサービスを使う機会があった時のことを考えると怖いので質問させていただきました。(使う必要があると仮定しての質問なので、怖いなら使わなきゃいいじゃんはなしでお願いします。)

質問者からの補足コメント

  • すいません、電話番号のパターンは下八桁なので、3*8^8=50331648パターンですね
    20回ログインしようとしてアカウント停止にできるなら、10億リクエストとかなので複数台サーバー用意すれば時間かけて送れますかね
    なんか現実的に個人や小規模組織がサービス落とせる仕組みになってそうなのが怖いですね

      補足日時:2024/12/02 11:25
    通報する

  • ヤフーさんも大手ですから応募とかは腐る程くるでしょうけど、選り好みして経歴とかが完璧な人しかとってないさそうで、いつも人手不足で募集してるイメージなので、もしかしたら外部に依頼とかしてるかもですね。
    どちらにしてもあの不安定なサービスの運営と雑な顧客対応している事実はあるのでoh...って感じですね。

    No.3の回答に寄せられた補足コメントです。 補足日時:2024/12/02 14:21
    通報する
通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (3件)

No.3

  • 回答者: lv4u
  • 回答日時:

>>そもそもユーザーがまともに使えないとサービスとして成り立たないのに...


ヤフーさんってそんな技術力ないんですかね...

メルカリでは、なんかタイミーで募集した素人がカスタマーサービスやっているとかいう話を目にしました。
もしかしたら、ヤフーもタイミーで募集した技術者(素人)を使ってシステム開発やっていたりして・・。
この回答への補足あり
    • good
    • 0
通報する

No.2

  • 回答者: lv4u
  • 回答日時:

最近、Mpayの問題を目にしたところですけど、Paypayでも問題が噴出って感じなんですかね?


とりあえず、被害拡大を防ぐために、「操作ミス等を3回検出したら、その番号はBanする」って処理をやっているのかもしれませんね。
さしあたり簡単な対策として、そういう感じで対処して、問題を少しでも減らそうとしているとか?
しばらく、ヤフーでの新規登録操作は控えておくほうがいいってことでしょうか?

ヤフーIDの脆弱性っていうよりも、ヤフーID登録システムの不具合ってことかもしれませんね。
    • good
    • 0
通報する
この回答へのお礼

ご回答ありがとうございます。
おっしゃる通り、なんかルールベースのシンプルかつあんまり考えられてないようなシステム使ってとりあえずでやってそうな感じがしますよね...
そもそもユーザーがまともに使えないとサービスとして成り立たないのに...
ヤフーさんってそんな技術力ないんですかね...
今回の不具合は登録もそうですが、ログインも急にできなくなるみたいですね。
私はちょっと今回の件でヤフーIDのサービスまともに使えないことは把握できたので、できる限り使用するのは控えようと思いました。

通報する
お礼日時:2024/12/02 11:42

No.1

  • 回答者: 放浪者
  • 回答日時:

最近Paypayの不正使用などで、問題が噴出しています。

また、Yahoo自体は、自社の決済システムは、Paypayに移行して数年になります。

そして、Yahooは、近年セキュリティーなどに変化を加えていないので、脆弱性は高いと思いますよ。
    • good
    • 0
通報する
この回答へのお礼

ご回答ありがとうございます。
なるほど、ほぼランダムにユーザー凍結するようにして自爆するようなシステムつくるくらいですからほんとにヤフー社はセキュリティ進んでないんですね。
googleさんとかはちゃんとデバイス情報とかもみてちゃんとユーザーにはサービス使えるようにしつつセキュリティ強化してるのに...

通報する
お礼日時:2024/12/02 11:32

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

このQ&Aを見た人はこんなQ&Aも見ています

関連するカテゴリからQ&Aを探す

ページトップページトップ

Q質問する(無料)

このQ&Aを見た人がよく見るQ&A

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報