Yahoo! Japanのサイトでやること

(A) 不正アクセスへの対策
Yahoo! Japanからのプレスリリースにもあるように、今回流出した可能性があるのは IDのみで、パスワードやその他の情報は含まれていないようです。そのため Yahoo! Japanは対象ユーザのパスワードリセットは実施しておらず、自主的なパスワード変更を促すのみにとどめています。もしあなたが他人から簡単に推測できるようなパスワードを使っているのであれば、今すぐパスワードを変更しましょう！

さらに今回流出の対象になった人もなっていない人も、不正アクセスを防ぐ方法として以下の2つは非常に効果があるので、設定することを強くオススメします*1。

• シークレットIDを利用する
• ワンタイムパスワードを利用する

シークレットIDは Yahoo! Japan IDのかわりにログイン時のみに使用する秘密の IDです*2。Yahoo! Japan IDはメールアドレスとしても利用されますし、そもそもサービス上は非公開の情報ではありません。しかしシークレットIDは本人以外には開示されないので、不正アクセスを試みる攻撃者は IDとパスワードを両方とも推測する必要あります。

ワンタイムパスワードは、ログイン時において通常のパスワードの他に、もう一つ別の種類のパスワードが必要になるというものです。あらかじめ設定したメールアドレスでパスワードを受け取るか、アプリを使用して表示されるパスワード(6桁の数字)を入力します。メールを使う場合には携帯キャリアのメールアドレスを使うべきですが、障害でメールが受け取れないなども想定されるので、私はアプリの利用をオススメします。Yahoo! Japanが提供する専用アプリ (iOS/Android) を利用してもいいですし、HDE OTP (iOSのみ) のように Yahoo! Japanに対応したサードパーティのアプリを利用してもいいです*3。

これらを利用する際の注意点ですが、シークレットIDはメールサービスなども含めて Yahoo! Japan上のすべてのログインに適用されます。そのため PCやスマホなどのメールクライアントの設定もすべて変更する必要があります。

一方のワンタイムパスワードは Webブラウザからのログインにのみ適用されるので、POP/IMAP/SMTP等のメールサービスには影響しません。またよく使う端末(ブラウザ) は一度登録しておけば次回からはワンタイムパスワードの入力を省略することができます。しかし PCとスマホからのログインにのみ対応していて、いわゆるガラケーからのログインには対応していません。

「使いにくくなるからイヤだ」「ガラケーからもログインしたいからワンタイムパスワードは使えない」という方は、ログインアラートの設定をしておきましょう。万が一、第三者による不正アクセスがあった場合にメールで通知されるので、すぐに気が付くことができます*4。ログイン履歴を時々自分で確認するのもいいですね。

(B) 迷惑メールへの対策
Yahoo! Japan IDはそのままメールアドレスとしても使用されています。そのため ID流出によってスパムメールやフィッシングメールを受け取る可能性があります*5。こうした迷惑メールを受け取ったら添付ファイルを安易に開いたり、メールに書かれたURLをクリックしたりしないように…と言いたいところですが、開いちゃうのが人間なんですよね。Yahoo! Japanには迷惑メールフィルターなど多数の迷惑メール対策ツールが用意されています。まずはこれらを活用して迷惑メールを受け取らないようにしましょう。

他のサイトでやること

Yahoo! Japanのメールアドレスを他のサイトのログインIDとして使っている方はおそらくかなりいると思います。もしあなたがそのサイトで他人から簡単に推測できるようなパスワードを使っているのであれば、今すぐパスワードを変更しましょう！今回の件で Yahoo! Japanから大量の ID情報が流出したとすれば、攻撃者はその IDを使って他のサイトで不正アクセスを試みる可能性があります。もし簡単なパスワード ("123456" や "password"など)を設定していた場合、そのようなアカウントは攻撃者に簡単に突破されてしまいます。簡単なパスワードを設定していないか、パスワードの使い回しをしていないか、この機会に自分のパスワード設定の見直しをしましょう。

ざっとこんな感じでしょうか。Yahoo! Japanさんには、もう少しユーザに親切な状況説明をお願いしたいところですね。

(5/23 追記)
Yahoo! Japanから追加発表がありました。

「当社サーバへの不正なアクセスについて」（5/17発表）の追加発表

5月17日に発表いたしました「当社サーバへの不正なアクセスについて」の件で、引き続き調査を続けていたところ、新たに前回の最大2200万ID（Yahoo! JAPAN総ID数 約2億）のうち、148.6万件については、不可逆暗号化されたパスワード、パスワードを忘れてしまった場合の再設定に必要な情報の一部が流出した可能性が高いことを確認いたしましたので、ご報告いたします。

「不可逆暗号」とあるのでハッシュのことだと思いますが、ハッシュ関数の種類やソルト、ストレッチングの有無についてはわかりません。条件によってはパスワードが解読される可能性もあると思います。(徳丸さんの記事が参考になります。) また「パスワードを忘れてしまった場合の再設定に必要な情報の一部」が何を指すのか書いてないのですが、ITmediaの記事などによると、「秘密の質問」とその答えも流出したようです。Yahoo! Japanでは該当するユーザのパスワードと秘密の質問をリセットするとあります。しかし「秘密の質問」は他サイトでも同じような内容になっているため、流出した情報が他サイトで悪用される可能性があります。

繰り返しになりますが、Yahoo! Japanのメールアドレス(または ID)とパスワード(と秘密の質問の答え)を他のサイトでも使い回している場合、今回流出した情報をもとにしてそれらのサイトで不正ログインが行われる可能性があります。あるサイトから流出したと思われるIDとパスワードを使って、他のサイトへの不正ログインを行う攻撃はこれまでも度々起きています。十分な注意が必要です。

(参考)
以下の記事は、他サイトへの不正ログインの可能性なども含めて、とてもよくまとまっており参考になります。(三上さんの記事ですが、専門家として北河さんが取材に協力されたようです。)
Yahoo!のパスワード流出、実は「他サイトが危険」？ : サイバー護身術 : セキュリティー : ネット＆デジタル : YOMIURI ONLINE（読売新聞）