Yahoo! Japan が時刻同期型 OTP (TOTP) を廃止

久しぶりに Yahoo! Japan のサービスを利用したところ，2021年3月いっぱいで OTP アプリを廃止するとの通知がありました。

Yahoo! Japan の OTP は専用アプリを使うとの建前になっていましたが，おそらく RFC 6238 準拠であり，実際には他のアプリケーションでも利用できていました。したがって，従来は対応していた RFC 6238 ベースの TOTP を廃止することになります。

代替とされているのはメールまたは SMS によるパスコード受け取りであり，不便であるのみならず，セキュリティ上も TOTP より劣っています。それどころか，メールや SMS は本来はセキュアに取り扱われることを前提としてさえいません。

SMS テキスト メッセージは NIST 標準を満たしていますが、NIST では推奨されません。 デバイス スワップ、SIM の変更、電話番号のポーティング、およびその他の動作のリスクによって、問題が発生する可能性があります。 これらのアクションが悪意を持って行われると、安全でないエクスペリエンスになる可能性があります。

それでも廃止に踏み切ったのは，おそらく合併に関係してのコスト増を嫌ったのかと思われます。あるいは，広報不足で TOTP がほとんど使われず維持コストに見合わなかったのかもしれません。いずれにせよ，廃止は利便性の上でもセキュリティの上でも大きな後退となります。

まさかこの先ずっとメールや SMS によるパスコード送信で行くつもりとは思えないので，FIDO シリーズなどへの移行を念頭に置いているかもしれませんが，今のところ普及のための環境は整っておらず，普及までは大きな間隙が生じることになります。

独自規格の専用アプリケーションへの移行という可能性もないでもありません。これならばすぐにできるし，セキュリティも確保しやすいでしょう。ただし，利便性の面で大きな犠牲を強いることになるので，よほどのロイヤリティがないとユーザが付いてこないと思われます。私の知る限り，そのやり方でうまくいっているのは Steam くらいです。タイミングを考えると，ひょっとしたら既に広く普及している LINE を認証アプリとして使おうと考えているのかもしれません。これは利便性の面ではメールや SMS よりもっと悪い上，独禁法等に関わってくる可能性もあります。そして，なんにせよ，従来の TOTP 廃止は新しい手段の提供が開始した後にするべきです。

Yahoo! Japan は決済から各種通信までの事業を手広く持っているばかりか，自社サービスの利用状況を元にユーザをスコア化して外部提供することも試みていましたし，個人向け遺伝子検査をしていたことさえありました。もちろん，そこまでセンシティヴでない情報は今も収集されています。

これらの情報収集の是非はさておき，個人情報を収集するのであれば，それを保護するために常に最善の手段を提供するべきだと思います。