パスワードを忘れた? アカウント作成
14041956 story
携帯電話

Googleが2段階認証の仕様を変更、キャリアメールアドレスへの送信が不可に 57

ストーリー by headless
変更 部門より
hylom 曰く、

Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事Impress Watchの記事)。

これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。

  • SMSなら電話番号だからMNPならなにも変更することないしなあ…
    ここに返信
  • by Anonymous Coward on 2019年11月09日 15時29分 (#3713538)

    単にキャリアメール対応マンドクセって話なんですかね?
    それともキャリア業参入への布石とか...

    ここに返信
    • キャリアメールを特別扱いするだけの理由がなくなったってことかなと。
      そもそも2段階認証の手段として経路上が平文の電子メールは不適切なわけだから。

      あと日本国内でも「キャリアメール」が特別なものではなくなってきてる事情もあるしね。
      一時期はスマホ持ってたら確実にキャリアメールも持ってたけど、MVNOが広まったおかげ
      「持ってない人」も多いわけで、メール経路はSMSに一本化してもいいという判断にもなる。

      • キャリアメールだとRFCに準拠していないメールアドレスを考慮しないといけないから、
        日本だけのためにいつまでも特別対応していられないということかもしれない。

        対応を間違えるとRe:ハマトラ事件の再来にもなり得るし。
        • by Anonymous Coward on 2019年11月10日 17時29分 (#3713981)

          “" "”でくくられたquoted-stringの形式であれば、ドット . の連続やローカル部最後の使用も可能です(quoted-string中では制限はない)。
          実際の運用でも、3キャリアのMTAも主要MTAもquoted-string形式に対応していますし、ユーザがquoted-stringの形式にしていなくてもMTAが勝手にエスケープ処理してquoted-string形式にしてくれるので特に互換性での問題も生じていません。
          あと、RFCに準拠したMTAなんてスパゲッティーコードのsendmailぐらいしか存在しないので、キャリアメール批判のために、RFCがどのと言い出すと大抵の場合ブーメランになります。

          https://tools.ietf.org/html/rfc5321#section-4.1.2 [ietf.org]

          While the above definition for Local-part is relatively permissive,
                for maximum interoperability, a host that expects to receive mail
                SHOULD avoid defining mailboxes where the Local-part requires (or
                uses) the Quoted-string form or where the Local-part is case-
                sensitive. For any purposes that require generating or comparing
                Local-parts (e.g., to specific mailbox names), all quoted forms MUST
                be treated as equivalent, and the sending system SHOULD transmit the
                form that uses the minimum quoting possible.

          一応、このように、quoted-stringはなるべく避けるべき(SHOULD NOT)とはありますが、
          「してはならない( MUST NOT )」ではないので、「RFCに準拠していない」というのはガセです。

          https://www.ipa.go.jp/security/rfc/RFC2119JA.html [ipa.go.jp]
          RFC において要請の程度を示すために用いるキーワード

          もご覧ください。

          • by Anonymous Coward

            > “" "”でくくられたquoted-stringの形式であれば、ドット . の連続やローカル部最後の使用も可能です(quoted-string中では制限はない)。

            キャリアメールは、古にそのルールをガン無視した顔文字風メールアドレス
            (エイリアス部に -.- を含むなど)作成できた時代があったので、
            今もメアド変更されず、亡霊のように残ってる件数が意外と多いのかな

            https://www.asobou.co.jp/blog/web/mail-rfc [asobou.co.jp]

          • by Anonymous Coward

            以前はquoted-string形式にしないで送り付けてきたり、
            quoted-string形式で送っても無視されてたとかそういう話じゃないの?

            今はquoted-string形式で送受信出来てるんであれば「過去の悪行」かもしれないが…
            …悪行は悪行って言う人は言うだろうね。

        • by Anonymous Coward

          プラス記号使ってるGmailがそんなこと言われても

      • by Anonymous Coward

        SMSも誰でもやってるもんじゃないと思うが、理由としてはよくわからんな。
        SMSは特に廃れていくのは間違いないだろうし。

        • by Anonymous Coward

          SMSって携帯電話契約すると問答無用で付いてくるサービスだと思ってた
          MVNOだと別料金なとこもあるの?

        • by Anonymous Coward

          海外の会員向けサービスだとSMS求められること多いでしょう?
          すぐに廃れていくとはとても思えないが。

          • by Anonymous Coward

            Rich Communication Services (RCS)のことも思い出してあげてやってください
            国内でも+メッセージ(プラスメッセージ)という名称でようやくサービス開始したじゃないか。これならLINE嫌いのスラド民も安心して使えるってものだ。

  • by Anonymous Coward on 2019年11月09日 15時29分 (#3713540)

    リンク先も読んだが、何でキャリアメールアドレスがだめなの?
    携帯電話に紐付いて、フリーメールなんかよりよっぽど信頼性高いと思うんだけど。

    ここに返信
    • Re:何で? (スコア:5, 参考になる)

      by 90 (35300) on 2019年11月09日 17時40分 (#3713602) 日記

      電子メールが許可されている中でキャリアメールが禁止されるのではなく、メールは禁止なのにキャリアメールだけ例外だったという状況です。優遇措置が終わるだけ。

      • by Anonymous Coward

        キャリアメールも今や契約中の携帯電話端末だけでなくどこからでもIMAP4やWebメールで読めるので、本人以外が認証コードを見る危険性も普通のメールと同程度あると考えるべきなんでしょうね。

    • by Anonymous Coward

      日本ではSMSに馴染みが薄かったからなのか、代用としてキャリアメールが使えるようになってただけで
      結局はSMS使えってことなんではないかと
      まぁSMSのセキュリティはどうなんだってのは残る

      • Re:何で? (スコア:2, 参考になる)

        by Anonymous Coward on 2019年11月09日 16時00分 (#3713561)

        ちなみに音声通話もあるよ。
        旧態依然の固定電話だと、こっちを使わざるを得ない。
        #普通に電話がかかってきて。「これはぐーぐるの~。コードは次の通りです。
        #いち、に、さん、よん...。もう一度くり返します~」みたいな音声が流れる。

        「SMSと音声通話に対応してるから、キャリアメールは不要じゃね?」
        って判断したのではないのかと。

      • by Anonymous Coward on 2019年11月09日 18時01分 (#3713607)

        時系列こんなかんじ
          GoogleもSMS認証はじめた
          日本のスマホだけSMS使えないからキャリアメールにした
          MVNO流行ったけどキャリアメールないやん
          国際SMS使えるようになってるから対応した
          SMS使えるからキャリアメールやめるわ

    • by Anonymous Coward

      普通にキャリアメールに多量のメールを送るとすぐブロックされちゃうので、
      キャリアメールに大量送信する為にその3社と契約結んで金でも払ってたのでは?
      利用者減少と大手3社以外のユーザーの増加に伴う見直しで、コスト削減のため廃止方向に舵を切って、
      "バックエンドシステム見直し"でその特別な接続が解除されて…、
      で、送信できない、ではなくて"受け取れなくなる"になるのでは、と予想。

      • by Anonymous Coward

        今でも自分でPCからの送信をブロックしてるくせに受け取れないとほざく池沼が多すぎるし

        • by Anonymous Coward

          何の話?

          • Re:何で? (スコア:2, 参考になる)

            by Anonymous Coward on 2019年11月09日 16時26分 (#3713573)

            元ACじゃないですがキャリアメールの迷惑メールフィルタの設定のことかと
            最近は知りませんが、以前は携帯メール(au、docomo、softbank)のみって設定にしている人が多かったからかと

    • by Anonymous Coward

      未だにSSL (SMTPS/POP3S) に対応していませんし、キャリアメールだけを優遇する意味は無いと判断したんでしょう。
      携帯電話の紐付けという意味ではSMSや音声通話があるわけですし。

    • by Anonymous Coward

      メールアドレスが簡単に変えられるので、メールが届かないとかなりやすいとか。
      MNPしてもメールが届かなくなるし。

      • by Anonymous Coward

        このね、アカウントのIDにうっかりキャリアメールを使っちゃってて、
        キャリア変えた後に気づいた時のアカウントを取り戻すまでの面倒くささw

    • by Anonymous Coward

      「キャリアメールだけ」可なのはナンセンスだから改善するのは判るが、
      「キャリアメールだけ」不可なのもナンセンスで意味不明だわな

      SMSだけにするってーならまだわかるけれど

      • by Anonymous Coward

        確か、
        ・電話番号かアプリか
        を選び、電話番号で日本だと
        ・キャリアメールかSMSか
        選べたのでは?

    • by Anonymous Coward

      このお知らせが出たころちょうど↓が出たのでこれに変更したけど、いまんとこ他に使い道がない…

      Titan Security Key [google.com]

      • by Anonymous Coward

        DropboxとFacebookはセキュリティキーも使えるから、この辺使ってるならactivateしておけ

    • by Anonymous Coward

      メールを送る事業者側からすると、キャリアメールは到達性が悪いし、コストもかかる。

      • by Anonymous Coward

        スパムメールまがいのメールを送りまくってるのはキャリアのせいじゃないだろ

  • by Anonymous Coward on 2019年11月09日 16時38分 (#3713577)

    この間、reCaptchaがどうしても成功できなくて、あるSNSへの入会をあきらめた。
    中国のアリババも同じでガラケーでは2段階認証が出来なくなった。すでに登録済みだったIDが使えなくなった。
    もう書留郵便で登録できるようにして欲しい。

    ここに返信
    • Yahoo!JAPANの(Yahoo!ショッピングやヤフオクで付与される)期間限定ポイントが、TポイントからPayPayに変わったので、そのためにPayPayに入ったんだけど、登録にSMS認証必須。
      今使ってるのはSMS対応のPHSと、MVNOのSMS非対応なデータSIMなんだけど、PHSへのSMS認証は不可っぽい。仕方ないので妻のガラケー(docomo)を借りて登録

      これで一段落、と思ったら、「Yahoo!JAPANへのログインをSMS二段階認証」にしないと、Yahoo!ショッピングなどでPayPayポイントを使うことができない。
      PayPayとは無関係な場合でも二段階認証必須。

      とりあえずその場、ガラケー借りた状態で「SMS認証有効化→PayPayポイントを使う→SMS認証無効化」で切り抜けましたが
      今後はPayPayポイントを捨てるか、SMS対応のデータSIMに乗り換えるか、悩んでるとこ。

      • by Anonymous Coward

        まったく同じだ。SMS認証無効化 [yahoo.co.jp]をブックマークに入れてpaypay使ったらSMS無効化してる。面倒~

    • by Anonymous Coward on 2019年11月09日 17時31分 (#3713596)

      セキュリティを高める=めんどくさくなるだからね。ほんと嫌

    • by Anonymous Coward

      あの画像キャプチャ、本当に面倒だよな。SNSではないが、某金融サイトのログイン画面にrecaptchaが追加されて
      ログインにかなり時間かかるようになった。キャプチャに成功を意味するチェック入るまでだいたい10分かかる。
      中国に転勤中なのでVPNを使ってる、それだけでキャプチャの難易度上がりすぎ。

      このサイト [codeberg.org]にもそのことは書いてある。キャプチャとかやめてほしいな・・・

      • by Anonymous Coward

        広告ブロックでreCaptcha部分の要素を非表示にして進めるサイトはブロックした方がいいよ。サイト側はわからんし。

      • by Anonymous Coward

        画像キャプチャって、どれだけ人類の時間を無駄遣いしていることか。
        本来ならシステムで対応すべき作業を、人にやらせるバカ設計。

        考えた人も採用している企業も、ITとして負け。
        愚かだわ。

        • by Anonymous Coward on 2019年11月10日 12時39分 (#3713873)

          あれは自動運転のためのデータセットの作成でしょ。
          最近は消火栓が問題として出てるから、そのうちGoogleマップに消火栓の位置が対応するかもしれない。

          以前は図書館コンテンツデジタル化のための文字解読だったけど、終わったみたいだね。

          • by Anonymous Coward

            あれ結構適当に選択している(9マスのうち3,4マス選択すれば通ってしまう)ので、俺の誤選択が将来のGoogleカーの自動運転事故につながるのだろうか。責任とらんぞ。

        • by Anonymous Coward

          恥ずかしいのは画像キャプチャって日本で発明された技術なんだよな・・・
          アイディアを海外勢にパクられて商業的に儲かってもないところまでワンセットで。

  • by Anonymous Coward on 2019年11月09日 23時58分 (#3713750)

    して欲しかった。

    この件、PC系サイト等で話が表に出る前に影響が出るユーザーには通知が始まってました。
    なんですが、この通知メールが、もんの凄い「フィッシングメール臭い」ブツで。
    割と本気で「これ本物か?」って悩みました、はい。

    まぁユーザビリティ高めればこうなっちまう(誘導リンクとか)のは分からなくもないのだが。
    取り敢えず心臓に悪かった、うん。

    ここに返信
    • by Anonymous Coward

      これは確かに。
      会社でG Suite使ってて、通知来たユーザから見せてもらったときはフィッシングかと思った。

      社内で管理してる人たちはキャリアメール使ってる率低いだろうし、良く分からない人に届いて踏んじゃう可能性高そう。
      いや別に踏んでも問題ないんだけどね。
      なんというか、リテラシーない人が確認せずにクリックしちゃいそうな、だけどクリックしちゃダメだろという見た目のメールなのよ。

    • by Anonymous Coward

      そう思ってすぐ捨てた人結構いると思う。

  • by Anonymous Coward on 2019年11月11日 10時12分 (#3714136)

    昔は「キャリアメールしか信用できねえ」ってサービスが多かったのに、いまは逆か。
    DVDの規格争いみたいなもので、提供者が勝手に争ってるだけなのに、
    ユーザーにはひたすら面倒くさい。

    ここに返信
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...