こんばんは、ritouです。
この記事を読まれた方はいるでしょうか。
http://journal.mycom.co.jp/news/2011/05/19/098/index.html
不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。
ここでいう公式コメントとは、これのことですかね。
Yahoo! JAPAN - プレスリリース
マイコミジャーナルの記事を見ていきます。
Yahoo! JAPAN IDは、同一IDを外部のWebサービスでも利用できる「OpenID」に準拠している。Yahoo! JAPANではログインの履歴を確認できる「ログイン履歴」ページが用意されているが、この画面には、外部のサーバを経由してYahoo! JAPANの認証機能へアクセスを行ったものの履歴も表示される。
http://journal.mycom.co.jp/news/2011/05/19/098/index.html
いきなりOpenIDのことが出てきていますが、あえてここでは気にしないでおいておきます(ちなみに、公式コメントにはOpenIDの話は一切出てきていない)。
そしてログイン履歴っていう機能があるということもOKですね。
ここからです。
"外部のサーバを経由してYahoo! JAPANの認証機能へアクセスを行ったもの"と、なっているが、この外部サーバとは何のことかが気になります。
きっと、公式コメントを参照すればわかるのでしょうか(このページから公式コメントへのリンクは無いので想像ですが)。
お客様が、Yahoo! JAPAN以外が提供する外部サービス(※)の認証画面に直接Yahoo! JAPAN ID、パスワードを入力した場合、それらの外部サービスのサーバを経由してYahoo! JAPANの認証機能へアクセスを行うため、ログイン履歴(https://lh.login.yahoo.co.jp/)上にそれら外部サービスが利用しているサーバの(場合によっては海外にあるサーバの)IPアドレスが表示される場合があります。
Yahoo! JAPAN IDの使用に関する注意喚起 ( ネットサービス ) - Yahoo! JAPAN広報からのお知らせ - Yahoo!ブログ
ありました。
Yahoo!のログイン画面でID/PWを入力した場合、クライアントPCのIPアドレスがログイン履歴に表示されますね。
iPhoneアプリやもはやなつかしのiモードアプリ等の場合は、通信業者のIPアドレスになるかもしれません。
それ以外に、いわゆるWeb Scrapingのようなアクセスをしている外部サービスからの場合、このようにそれらのサーバからのアクセスが来ることもあるでしょうということですね。
Y!IDとPWを"公式に"取り扱うサイトなのか、悪意のあるWeb Scrapingなのか悪意のないWeb Scrapingなのかに関わらず、ログイン履歴は残るようです。
こんな書き方だともっとわかりやすかったのかもしれません。
お客様が、Yahoo! JAPAN以外が提供する外部サービス(※)の認証画面に直接Yahoo! JAPAN ID、パスワードを入力し、それらの外部サービスがYahoo! JAPANの認証機能へアクセスを行った場合、ログイン履歴( https://lh.login.yahoo.co.jp/ )上にそれら外部サービスが利用しているサーバの(場合によっては海外にあるサーバの)IPアドレスが表示される場合があります。
話を戻しましょう。マイコミなんとかの続きです。
今回の報道は、このような外部サービスが利用しているサーバ(海外にあるケースも)からのアクセスが「不審なアクセス」と勘違いされてネット上で騒ぎが広がった可能性があるが、同社は「Yahoo! JAPANの登録情報の漏えいや、それによる不正アクセスの事実はありません」としている。
このような騒ぎを受けて同社は、Yahoo! JAPAN IDやパスワードの直接入力を求めるような外部サービスの利用状況をいま一度確認することをユーザーに求めており、それを踏まえた上で不審なログイン履歴が表示されている場合は、パスワードの変更を行うよう推奨している。
http://journal.mycom.co.jp/news/2011/05/19/098/index.html
さきほどの公式コメントからすれば、これは「情報は漏れていませんし、漏れてないんだからその情報を使われた事実はない」と言ってるだけなので特に問題はなさそうです。
- Y!以外のサイトにID/PW入れたら、そこのサーバー(ここでいう外部サーバ)とかからログイン試行されるかもしれない。
- そういうログイン試行の可能性があるため、海外からのアクセスを不審アクセスとか騒がれているようだけど、Y!J体からID/PWが流出している事実はないし、それが海外に流れてログイン試行されたという話でもない
つまり、「こういうアクセスはよくあることですよ」「Y!Jの情報管理は大丈夫だ、問題ない」ですね。
しかし、マイコミなんとかが最初にぶち込んできてたOpenIDのくだりがジワジワ効いているせいで、この記事はこんな感じにとらえられます。
- Y!は外部のWebサービスにOpenIDでログインできる
- 外部のWebサービスからY!の認証機能にアクセスが来る
- まぁY!から漏れたわけではないのだけれど、使う(OpenIDの)サービスに気をつけようね。
これではまるで、「OpenIDでは外部のWebサービスにY!JのID/PW入れてログインさせる」ように思われないでしょうか?
もしかして、書いた人が外部のWebサービスと聞いてOpenIDのことを思い出し、こういう流れに持っていったのでしょうか。
OpenID対応サイト(RP)を利用する際、ユーザーがログインするのはOPの画面上であり、残るIPアドレスはクライアントPCになります。RPはあなたのクレデンシャル(ID/PW)を取り扱うことはありません。
ログイン履歴には、サービス名は"OpenID対応サイト"として表示されるようです。
Facebookのあの件では"メール"と残っていますが、その場合はFacebookがブラウザのY!メールのアクセスになりすましてログイン試行をしていると思われます。
はてブのコメントを見ると、OpenIDの仕組みを分かっている方はなんかおかしくね?って反応があるのでまだマシですが、このような紛らわしい記事でOpenIDがへんな影響を受けることがあったらとても残念です。ということで解説のエントリをかかせていただきました。
OAuth 2.0の細かい話になるとこのあたりで少しめんどくさいフローも出てきますが、Y!はまだ対応していないですしこれはまたいつか。
ではまた。