セキュリティ ヤフー ログインアラートでログイン時にメールでお知らせ

Yahoo!JAPANにログインしたときに、メールで通知する「ログインアラート」という機能が提供されました。

ログインアラート http://login.yahoo.co.jp/alert/intro

ログインアラートは、Yahoo! JAPAN にログインしたときに、
設定したメールアドレスにログインしたことを通知します。

ログイン http://login.yahoo.co.jp/config/login

何がうれしいかというと、自分以外の何者かにパスワードを盗まてアカウントを不正利用されたときや、パスワードクラッキングが成功(ログインされた)したときに、ログインアラートで自分以外の第3者が自分のYahoo!JAPAN IDにログインしたことに気付くことができます。

第3者に不正にログインされたことに気付いたら、「ログインロック」という機能を利用することで、IDとパスワードでログインできない状態にすることができます。
仮にロックしたとしても、たぶん、Cookieの有効期限が切れるまでは、悪用され続けるかもしれません。

メールが何度も飛ぶのは、それはそれでうっとうしいですが、ログイン履歴よりも不正利用に気付きやすくなるのではないかと思います。

ログインアラートのテストをしてないので、この問題があるのか解りませんが、携帯電話のメールアドレスをログインアラートの宛先に設定しているときに第3者によるログインロックの脆弱性が発生するかもしれません。携帯電話を解約したり、携帯電話のメールアドレスを変更したときに、ログインアラートの宛先を変更しなかったときに、ログインアラートは通知先としては無効なアドレスになり、バウンスしはじめます。このときに、無効なメールアドレスに送らない設定に勝手になれば問題ないですが、送り続ける実装だと数ヶ月後に第3者に同じメールアドレスを取得されたときに、ロックされてしまうかもしれません。でも、ログインを解除して、ログインアラートの宛先を変更すれば、それはそれで問題はなくなるはずです。

---