2013年1月23日8:00
Yahoo! JAPAN IDのセキュリティ対策
ヤフーが運営する国内最大級のポータルサイト「Yahoo!JAPAN」では、利用者に対して「Yahoo! JAPAN ID」を守る一回限り有効なパスワード「ワンタイム・パスワード」を導入するなど、セキュリティの強化に取り組んでいます。
「Yahoo!JAPAN ID」のセキュリティ強化に向け
2012年8月にワンタイム・パスワードを導入
まず、Yahoo!JAPAN IDの利用状況として、月に1回以上アクセスしているアクティブユーザーは2,641万人、Yahoo!プレミアム会員は累計783万人、デイリーユニークブラウザは5,309万人となっています。Yahoo!JAPAN IDは、1998年7月にYahoo!メッセンジャーでID利用を開始しました。本人確認としては、1999年9月にYahoo!オークションの提供を開始し、2001年5月に本人確認をスタートしています。その後、2002年3月にYahoo!ウォレットを開始し、2006年11月に佐川急便のオークション配送の本人確認を実施しています。2012年8月には、オークションSMS認証を開始し、携帯の契約者を確認することでオークションの出品までのプロセスを簡略化させています。
セキュリティ面では、フィッシング対策のログインシールとログイン機能の導入を2002年2月に行いました。2009年5月にログインの成功したタイミングでユーザーにその状況をお知らせし不正防止を図る「ログインアラート」機能を導入しました。2012年1月には、リスクベース認証の提供を開始、5月には認証用のIDを切り替える機能である「シークレットID」、8月にはワンタイム・パスワード、9月には「ログインテーマ」を導入しています。
外部連携としては、2008年にOpenID2.0、2009年7月にOAuth1.0のサポートを開始し、2012年10月にソフトバンクモバイルとのID連携をスタートしました。また、2012年11月にOpenID Connectを導入しています。
2012年8月に導入したワンタイム・パスワードは、任意で利用が可能です。基本的には、パスワード認証は残しつつ、設定した任意のメールアドレスへ6桁のワンタイム・パスワードを送信します。また、ユーザーが任意で端末を登録した場合には、最大12週間ワンタイム・パスワードを任意で省略できる機能も提供しています。
フィッシングによるID・パスワードの盗難を防止
SBMの携帯電話番号によるログインも可能に
ログインテーマはスマートフォン向けのフィッシングによるID・パスワードの盗難防止機能です。従来のPC版は画像をアップロードしたり、ユーザーが任意でテキストを入力することによりログイン画面をパーソナライズする機能が一般的でしたが、スマートフォン版では色とテクスチャを選ぶだけのツーステップで認証画面を提供しています。
ログインアラートは、不正アクセスをアカウント所有者が検知し、万が一の際にも被害を最小に食い止める機能です。注意が必要なログインの成功があった場合に、設定済みのメールアドレスで通知を行います。また、通知メール内のURLからアカウントをロックすることで、被害拡大を押さえます。さらに、ユーザー自身が過去のログインの履歴をチェックすることで、不正アクセスを検知できる機能も提供しています。シークレットIDは、アカウント自体は変更することなく、ログイン時に利用するハンドルだけを新しい文字列に変更することで、不正な攻撃を防止する機能となっています。
リクスベース認証は、アクセス元の情報を解析し、不正なアクセス元の可能性が高い場合は、自動でブロックする機能となっています。
この一連の取り組みが評価され、2012年9月に京都府警の「京サイバー犯罪対策協議会」から感謝状をいただきました。なお、Yahoo!JAPANのトップページの「無料ID活用」のタブを押していただくと「Yahoo!JAPAN利用ガイド」のページにアクセスされ、そこに詳細情報が記載されています。
セキュリティにおける検討事項としては、1つの強力な機能だけでは万全ではないため、リスクベース認証、通知やフィッシング対策など、あらゆる手を尽くして不正と戦っています。ただ、認証手段が増えるとコンバージョンに影響が出ますので、事前設定が必要な機能は任意利用にしています。また、意識の高いユーザーは自主的にワンタイム・パスワードなどを設定していただけますが、それ以外の利用者にも広めていく必要があると考えています。
スマートフォンへの取り組みとしては、2012年10月から、ソフトバンクモバイル契約者に対し、携帯電話番号とパスワードでYahoo!JAPANへログインできる機能を提供しています。スマートフォンはソフトウェアキーボードが打ちづらいですが、同機能ではキーボードの切り替えが不要です。また、携帯電話番号であればユーザーが忘れにくく、IDの文字列に悩む必要がないなどのメリットがあります。
さらに、ヤフーでは早い時期からOpenID/OAuthをサポートしており、外部とのID連携を積極的に行っています。例えばOpenID/OAuthを利用して、クレジットカード会社様などのパートナーサイトにログインすると、そのまま弊社のセキュリティ機能をご利用いただき、コンバージョンを高めることが可能です。
2012年11月7日に「Y Connect」というブランド名で、OpenIDConnectをサポートした最新版を発表しています。OpenIDConnect は、OAuth2.0の仕様をベースとしており、従来のOpenIDに比べ格段に実装が容易になりました。また、Yahoo!JAPAN IDを登録した会員情報をユーザーの同意のもと、どのパートナー企業からも取得できる機能も提供しています。パートナーサイト上での認証を強化するための拡張仕様があり、将来的にはパートナーサイト側が任意のタイミングで弊社側にワンタイム・パスワードによる認証要求を行う、といった利用方法も検討しています。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のヤフー株式会社セントラルサービスカンパニー ID決済本部 ID決済企画部 企画1 サービスマネージャー 松岡泰三氏の講演をベースに加筆を加え、紹介しています。
