YAHOOパスワードが勝手に変更された

YAHOOの会員なのですが、先日第三者にパスワードを勝手に変更され、ＨＰ作成の有料サービス（会員向け）を申し込みされていました。発見後すぐにYAHOOに連絡をとり、申し込みを取り下げてもらうようにお願いしましたが、ＩＤ・パスワードの管理は自己責任で、料金の引き落としはさせてもらうとの回答です。こういう身に覚えのないものも支払わないといけないのでしょうか？パスワードが盗用されただけなら仕方ないかもしれませんが、パスワード変更が簡単にできてしまうセキュリティの甘いYAHOO側にも責任があると思うのですが・・

No.8 回答者： easyc 回答日時： 2006/10/14 22:03

ログインの件で質問したら、先ほどyahooの方から回答があり、詳細は不明ですが、ログイン時は暗号化されてるとのこと。

（再度、詳細を確認する返事を書きましたが）
しかし、これを鵜呑みにできない一貫性のなさがあるのが今回の私の意見です。
パスワードを変更するところでは、つい最近やってみましたが、「ssl」なしですが、IDとパスワード両方の場合が、「ssl」ありでした。
ユーザとして不信感を覚える根拠です。
また、余談ですが、オークションのメールでのやり取りで、住所、氏名、電話番号、及び銀行口座番号を一回のメールで連絡する方（ほとんどの方がそうです）が多いのには本当にビックリしました。（指摘したら、逆に怒られた人もいましたが（;_;））　ここで、生年月日まで、メールに書いたりしたら、詐欺をしてくれと言ってるようなものです。（通常、銀行等これで、本人確認ができます。）
こういうことも、注意事項として記載してくれたらと思います。

No.7 回答者： techchan 回答日時： 2006/10/14 12:17

ANo.5の書くとおり、Yahooはデフォルト暗号化なしなので、セキュリティが甘いですね。

Yahooに有料サービス申し込みがされたIPアドレスを確認すべきです。
今後のことも考えて、国民生活センターと、情報処理推進機構（IPA）セキュリティセンター（ISEC）（参考URL）および警察に届け出るべきでしょう。

電気通信事業法第３６条の４では、「総務大臣は、（中略）第１種電気通信事業者の業務の方法が適切でないため利用者の利益を阻害していると認めるとき、（中略）業務の方法の改善その他の措置をとるべきことを命ずることができる」と規定されているので、場合によっては、同法９６条の２に基づく申し出をする旨、Yahooに通告した方が良いかも知れません。
まず国民生活センターで相談ですかね。

参考URL：http://www.ipa.go.jp/security/ciadr/index.html

この回答への補足

回答有難うございます。先に警察のサイバー対策室へ電話しましたら、今回の被害者はあくまでもYAHOOになりますとの事でした。金銭的な事は関与しないので、双方の話し合いか消費生活センターへと紹介され、消費生活センターへ電話したら”こちらに全く落ち度はなかったかと言い切れますか？”と言われ、情報処理推進機構（IPA）へ問い合わせたら、警察と消費者生活センターへ問い合わせて下さいとの回答でした。この一連で本当にそういうものなのか疑問に持ちましたのでここへ問い合わせてみた訳です。今回の件は私の落ち度だったかもしれませんが、今後の対処もある事なので疑問を投げかけてみた訳です。ちなみに、今日YAHOOBBの相談窓口に電話してみたところ、パスワードが盗まれる事は絶対ないので、インターネットカフェか何かでログアウトしなかったんでしょう？”と言う答えには正直びっくりしました。

補足日時：2006/10/14 22:20

No.6 回答者： U-Seven 回答日時： 2006/10/13 15:45

状況が不明ですが、

>先日第三者にパスワードを勝手に変更され、・・・
この変更されたパスワードをあなたは分かるのですか、分からなければ今後どうしようもないわけで、
場合によっては一度ＩＤを削除された方がよいかもしれません。
Yahoo IDのパスワードの再発行を行って下さい。
そして再変更、あるいは現IDを削除。
http://help.yahoo.co.jp/help/jp/edit/edit-09.html

No.5 回答者： easyc 回答日時： 2006/10/13 02:01

多くの方が、ご指摘のように、本当に、ご自身での心当たりはありませんか？

でも、mailもオークションも、yahooのログインはデフォルトは暗号化なしの開けっぴろげ状態（IDもパスワードも丸見え）です。悪意のある第３者が盗み見るのは可能です。
私は、必ず「SSL」の状態にして、ログインしてます。
本当にあったのであれば、やはりyahooの怠慢です。以前、私もメールで連絡した（無頓着な利用者が多い）のですが、yahooはすぐに改善すべきです。
回答にはなってませんが・・・
もう一度確認して、間違いないなら（と言っても確認するのも大変ですが）yahooにその旨連絡すべきです。

この回答への補足

多くの方のご指摘のように私のセキュリティー管理が悪かったもかもしれません。ウイルスやスパイウェアには気を付けていたつもりなのですが・・発生後チェックをしてみましたが特に検知されませんでした。パスワードは現在また変更していますが、今回質問したかったのは、パスワードを変更する際、生年月日と秘密の質問を入れないと変更できないようになっていますが、それをどうやって第三者に盗み取られたかという事です。パソコンは買い換えたばかりなのでそのような情報は一切入れてないつもりでしたし、念のため登録している生年月日は本当の数字ではありません。それでも簡単に変更が出来てしまうものでしょうか？今後の対策や有効なソフト等ありましたら教えて下さい。

補足日時：2006/10/13 21:33

No.4 回答者： noname#38757 回答日時： 2006/10/12 23:37

少なくともパスワードを変更するには、正式にユーザーＩＤ及びパスワードを用いてログインしなければなりません。

つまり、簡単にパスワードを変更できないと言うことです。

＞パスワードが盗用されただけなら仕方ない

結局、これがすべての原因ですのでセキュリティの甘いのはどちらでしょうか？

あと、Ｙａｈｏｏにお願いしただけでしょうか？
パスワードがどうして盗まれたのかを突き止めていないわけでしょうか？

一度、ウィルスチェックを行ってみてはどうでしょうか？
トロイの木馬系のウィルスがごっそりと見つかったりしても、すべてはＹａｈｏｏの責任と言えるでしょうか？

参考URL：http://www.trendmicro.co.jp/hcall/index.asp?bann …

No.3 回答者： Night-cafe 回答日時： 2006/10/12 23:31

>パスワード変更が簡単にできてしまうセキュリティの甘いYAHOO側にも責任がある

さて本当に責任があるのでしょうか？
yahooから個人情報などが漏れてそれによりパスワードが外部に流出したことによる被害ならばyahhoにも責任があるでしょう。
しかし、個人のパスワードの管理不足により漏れた場合はないと思います。
どこのサイトでも変更前のパスワードが分かれば、新しいパスワードに変更することは可能です。
そうでない方法をとっているところもあると思いますが数は多くないと思います。

パスワードを誰かに盗み見られて漏れた、パソコンにスパイウェアがインストされていてそこから漏れたのであれば、それは個人の責任でしょう。

>パスワードが盗用されただけなら仕方ないかもしれませんが
仕方ないと言っておられますが、パスワードを盗られただけで重大なことです。パスワード盗られてしまえばかなりヤバイ状況です。

質問者様は、セキュリティやパスワード管理に対してかなり甘い考えをお持ちのようですのでこれを機に考えを改めることをおすすめします。

>料金の引き落としはさせてもらうとの
これに関しては各サイトそれぞれの対応でしょう。

No.2 回答者： fdppw 回答日時： 2006/10/12 23:28

こんばんは。

え～と、非常にお腹立ちでしょうが・・・

少なくともパスワード変更には、Yahoo ID＆パスワードが必要です。
また、パスワードを忘れたとして再発行するには、Yahoo IDとYahoo ID登録時に申請した生年月日と郵便番号が必要です。

Yahoo IDを探すのも、Yahoo ID申請時の生年月日＆郵便番号と、メールアドレスが必要です。

と言うことは、通常貴方のパスワードや、その他個人情報の管理が悪い為に、このような事態が起こったのでしょう。
インターネットの世界では、IDやパスワードは非常に重要です。

Yahooが甘いと言うよりは、今回は貴方の管理が悪いのでしょう(ーー;)
それより、その他PCを使って処理するYahoo以外のIDやパスワードは大丈夫ですか？
クレジットカードや、その他有料処理する所のは大丈夫ですか？
調査して、変更する事をお勧めします。

では！

No.1 回答者： rav4_hiro 回答日時： 2006/10/12 23:12

＞こういう身に覚えのないものも

申し訳ないが貴殿のセキュリティレベルはゼロですね。
パスワードがすぐ盗まれるような環境にいてパスワード管理が
出来ないようじゃ・・・これから大変ですよ。