2025年10月に必須化されるらしい。今後スマホを持ってない人はYahooメールやメアド必須WEBサービス全てが利用できなくなる!
やめて!
私、スマホ持ってないんですけど?! やめてください! パスワード認証可能にしてください!
人と連絡取れなくなります! WEBサービス全般利用できなくなります!
勘弁してください!
情報源
はてなも使えなくなる
たしかYahooメアドで登録しているので、はてなも使えなくなりそう。
Yahooアカウントが実質BAN状態になってしまうため、メールを確認できず、本人確認できなくなり、あらゆるWEBサービスが使えなくなっていくだろう。
新しいWEBサービスへの会員登録ができなくなる。
登録済みのWEBサービスなら、しばらくは問題ないかもしれないが、WEBサービス改変等でメールによる本人確認等が必要になったら、メアドにログインできず本人確認用の一時パスコードなどが取得できなくなり、WEBサービス利用できなくなり、実質BAN状態となる。
Yahooメール、はてな、GitHubあたりをよく使っているので非常に困る。
スマホを持ってない人のネット問題
- 新しいメールアカウントの取得ができない(電話番号の提供必須だから)
2015年あたりからメールアカウント取得には電話番号が必須になってしまっていた。
これまでは昔作ったメールアカウントでなんとか遣り繰りしていた。
しかし今回、昔作ったアカウントすら、スマホによる電話番号や生体情報の提供をしないと利用できなくなるようだ。これにてもうメール利用自体が完全にできなくなってしまう。唯一の連絡手段だったのだが。
自宅ネットのみだと致命的な問題が起きる
自宅でネット接続してるのにメールやWEBサービスが使えない状態になる。
おかしい。ネット接続環境はあるのにメールもWEBサービスも使えないとか、おかしいよ。
そんな、あんまりだよ。こんなのってないよ。こんなの絶対おかしいよ!
今後のネット利用にはスマホによる個人情報提供必須か
自宅ネット回線だけではメールすらできなくなる。
あまりにも改悪されてしまったネット環境。
いずれは遺伝子情報の提供も求められるようになるのだろう。個人情報保護法とは。
スマホ持ってない奴に人権は無い
マイナカードといい、政府や企業はそれほどまでに私達を支配したいようだ。
セキュリティ強化でなく支配強化である。
いよいよ生きづらくなってきた。
SNS/生体認証必須化の背景
近年、インターネットを介した個人情報の不正アクセスやデータ漏洩が増加しています。 攻撃者の技術が高まっていくにつれ、従来のパスワード認証だけでは第三者にログイン突破されるリスクが高まっています。
それは対策すべきですね。
SMS認証などのログイン方法は、パスワード単体の認証よりも強度の高い認証方法です。 このログイン方法によるアクセスを必須とすることで、第三者による不正アクセスを未然に防ぎ、お客様の大切な情報を守ります。
Yahooから情報漏洩したら大惨事になりそう。パスワード漏洩による不正アクセスくらいならYahooサービスが使えなくなるくらいで済むけど、SNS(電話番号)や生体(顔、指紋)認証が漏洩すると、その情報を手がかりにクレカや住所、氏名など他の個人情報まで芋づる式に取得されてしまいかねない。わざわざ個人情報を提供するほうがセキュ入りティ的に危険なのでは?
他の記事には必須化の経緯があった。
「パスワードに関して、ユーザビリティとセキュリティの面で課題があった」と説明。リスト型攻撃などID・パスワードに対する攻撃が激化していて、フィッシング報告も右肩上がりだという。
ユーザビリティについては、パスワード忘れが多いという点が課題だった。パスワードだけでなくID忘れも多かったとのことで、ピークにはアカウントに対する問い合わせの3割がパスワード、ID忘れだったという。同社の調査では、87.1%の人がログイン時のID、パスワード忘れを経験していたという。
パスワード管理ツールを使っていれば、こうした問題は解決するが、そうしたユーザー全員が使うかというと難しい。その結果、SMS認証を導入し、さらにFIDO認証へと繋がっていったという。さらに、パスワードが残っていると、そこが攻撃に対する弱点となるため、無効化設定によってパスワード自体をなくした。
ツッコミ
それ、個人情報(電話番号、顔、指紋)でやる必然性ないですよね?
UUIDやSHA-512などの疑似乱数を用いた技術で十分ですよね?
ブラウザのパスワード管理機能を使えば解決ですよね?
反論
上記の技術的な問題はすでにブラウザによるパスワード管理で解決できる。サイトのURL・ID・パスワードはそれぞれ紐付けられて管理される。故にフィッシング詐欺は起き得ない。またユーザビリティに関してもサイトのURLに応じてIDやパスワードを自動入力することが可能のため利便性に何ら問題ない。
強いて言えば、パスワードは昔ながらの人が暗記できる短い文字で作る文化のまま変わらなかったのが問題。長過ぎるパスワードが作れなかったり、日本語が使えなかったり。誰とも一致せず自分だけは覚えやすいパスワードなんていくらでも作れたのに、WEBサイト側がそう実装せず、なぜか英数字と限られた記号のみを32字以内という、推測されやすいパスワードしか受け付けない構造だった。それこそが問題だったのに、そこを修正することなく『パスワードは脆弱』とするマッチポンプ。もはや悪意すら感じられる。
もしパスワードをUUIDやSHA等で自動生成し、それをWEBサイトも受け付けるような作りにしてればリスト攻撃は回避できた。だが、価値のない疑似乱数値に大量の記憶領域や通信量を消費するのはコスパが悪いため、サービス提供側にそれをする動機はなかったのだろう。これが個人情報を収集できるデータなら利益につながるため動機が産まれる。つまりユーザのためでなく提供側の都合によって個人情報をパスワードの代わりとして利用することが決定されたと思われる。
ユーザ認証においてユーザビリティとセキュリティを解決する技術はすでにある。ブラウザのパスワード管理で十分だ。むしろユーザにとっては個人情報をYahooに管理される必然性のほうが無い。
パスワード管理ツール
パスワード管理ツールはブラウザに標準装備されているので、使わない人はいないはず。
むしろブラウザのパスワード管理機能からパスワードを盗まれる可能性を懸念すべきだが、そこはスマホやPCのログイン処理で解決できる。スマホなら生体認証などでガードすればいい。なのにその生体情報をYahooなど外部の者に渡してしまえば、その情報からロック解除されてしまうリスクが増大する。Yahooサーバから情報漏洩することも過去にあったのだから当然の懸念である。
フィッシング詐欺
フィッシング詐欺は、類似の偽サイトにパスワード等を入力してしまうことで、アカウントを盗まれてしまうことだ。
これはブラウザのパスワード管理機能で解決できる。完全に一字一句同一のURLかどうかをコンピュータが判断するから。人間が目視すると見間違えて騙される可能性がある。でもコンピュータに判断させるから問題ない。
もし普段と同じサイトで、パスワードが自動入力されるはずなのに、されなかったら? じつはURLが一文字だけ違う、見た目がそっくりな偽サイトの可能性があるのでは? と気付ける。
毎回手動で入力させるからフィッシング詐欺に合うのであって、最初からブラウザのパスワード管理機能を使っていれば目視による誤認を回避できる。
パスワード忘れ
ブラウザによるパスワード管理で解決する。心配ならバックアップを取ればいい。
バックアップはOSクラッシュやスマホ破損・紛失などに備えて日頃から簡単に実行できるようにすべきだが、その利便性はセキュリティ・ホールと同義なので難しい。どれだけ技術が進歩しても、このトレードオフの関係は変わらない。
パスワードを使わなくなっても解決しない。むしろ自分では正確に把握できないシークレット・トークンになるSNS認証/生体認証のほうが問題だ。忘れた時に復元できないし、じつは流出してリスト化されていると判断することもできない。他人任せで自分では何も確かめられない恐るべき状態となる。
そもそもSNS認証でもシークレット・トークンが使われており、生体認証でもバイナリデータである。つまりパスワードと本質的に同じだ。それはコンピュータで情報を扱う限り不変である。ただ生データを可視化しなくなっただけだ。
パスワードは覚えるべきではなく、記録すべきだ。もし覚えていられるなら、人が記憶できる程度の情報量しかないため推測される可能性が高い。よってパスワードは覚えられないような複雑な文字列をデバイスに記録する形式が望ましい。その値は個人情報である必要はない。UUIDなど疑似乱数によるランダムな文字列で十分だ。個人を特定できないランダム値こそ、漏洩時にリスクの低い、最も望ましい個人認証トークンである。
リスト型攻撃
リスト型攻撃は、同じパスワードを使用した時に起きる。なので重複しないパスワードを生成すれば解決する。
パスワードはUUIDv4など重複しない複雑なランダム文字列を自動生成するようにすればいいだけ。技術的には極めてシンプルに解決できる。
UUIDは複雑なので覚えていられないが、それはブラウザのパスワード管理機能で解決する。
問題の本質
本来であればリテラシーの低い人でも十分管理可能な状況を作れるはずだが、WEBサービス側がパスワードに使用できる文字数や字種などを制限するせいで、安全性を担保できない。
「技術的な理由でセキュリティの担保に個人情報が必要である」というのは真っ赤な嘘だ。そして、そんなことは言っていない。そう思わせるような表現をしているだけだ。じつに悪辣な手口である。
なぜ個人情報を要求するか
WEBサービス提供側が自らの利益を最大化するため。疑似乱数より個人情報を収集したほうが利益になるため。ユーザにそれを説明しても賛同を得られないから説明せず『セキュリティの為』と半ば脅迫する形で必須化を強行している。
ユーザビリティとセキュリティを向上するため、と言っているが、個人情報を必要とする技術的な必然性は無い。複雑なランダム値を生成すればいいだけだから。
なのになぜ、それが必要かのように誘導するのか? 技術的な必然性はなくとも、自社にとっての経済的な必然性があるからだ。
ユーザのリスクより自社の利益
個人情報の提供を必須化する理由として、利便性とセキュリティの二点を挙げている。
しかしそれらはユーザのリスクを度外視している。
ユーザは個人情報を提供することで、情報漏洩により国、企業、犯罪組織などに個人情報を奪われる機会が格段に増えてしまう。たとえば他の企業との契約情報と照らし合わされて氏名、年齢、住所、職場、職歴、病歴、購入履歴、銀行口座残高、クレカ番号、SNS発言内容などあらゆる個人情報とつながってしまい、その人にとって効果的な詐欺の手口をみつけだす手段にもなりうる。
ユーザは行動や発言を監視され、次の思考や行動を予測され、知らず知らずに操られ支配されてしまう。まさかこの個人情報の提供から、こんな事態に発展するとは思わなかった! という状況が今後益々増えていくだろう。
むしろ個人情報の提供を必須化するせいで、ユーザのリスクは想像を絶するほど増大していく。さも必要で素晴らしいことかのように喧伝する前に、リスクの説明をすべきである。メリットのほうが大きいと誤認させる言い方で人々を騙そうとする手口には嫌悪しかない。誠意ある説明が欲しい。尤も、それではユーザを犠牲にして利益追求するという悪性が暴かれてしまうため、自ら主張することは絶対にしないだろうが。
まずは技術的な必然性がないことを明言してほしい。
情報デバイド
情報デバイドは情報格差のことであり、ネットをはじめとした情報通信技術を利用できる人と、できない人の間で生じる格差のことだ。
経済、年齢、地域、教育、障害などの観点から情報格差が広がる。
そしてさらに『スマホの所持』も追加されてしまったようだ。
差別により生じる価値によって人を操る社会
世間の流れからみて、人を差別し迫害することで特権や価値を創出し利益を生んでいる。
価値により人々を操ろうとする者たちがいる限り、今後も必要になる物事が増えて、益々生きづらい社会になっていくだろう。
薄ら寒い綺麗事をCMで垂れ流しながら、やっていることは詐欺や戦争。これが社会の、人間の、生物の実態。ああ嫌だ嫌だ。
所感
支配強化の流れは文明が破滅するまで続くだろう。これまでの歴史が示す通り。
ネットが普及した時は風通しのよい社会になると希望を抱いていたのだが……。残念ながら今後ネット上で発言権を得るには通信事業者と契約して月額いくらを支払い続けた上に、電話番号や生体情報といった個人情報まで提供することが必須となってしまうだろう。
どうするか。オープンソース運動してもオープンにならず閉塞する今、自由の為にどう闘うべきか。もはやそんな余裕さえない。生きるのでやっと。
カネもない、卵もない、米もない、まともに飯が食えない。さらにネットもない、言いたいことも言えない。なんの価値もない社会生活になっていく。参加するほど搾取され貧しくなる社会。
経済社会のせいで生活は貧しくなる一方だ。利益を得るため騙すことに注力して偽装まみれの無価値な商品やサービスが氾濫し、価値を失くして貨幣の価値も失くなり、生活の質が落ち、生きることが苦しくなり、犯罪や戦争に手を染め、生きることの悪と罪を自覚し、産まれなければ良かったと思うようになる。
現実をみる必要はあるが、夢や希望も必要だ。嘘偽ることなく正しい現実を見た上で、夢や希望が持てるようになりたいものだ。せめて頭の中だけは自由でありたい。それを自由に表現できる場がネットだったが、それも失われていくだろう。ああディストピア。
