独房の中

どうも、ツイート引用された者です。
結構反響ありそうなので分かってきたことを以下に記します。

(1)経緯
概ね引用ツイートの通りです。既にワンタイムパスワードに設定してあったにも関わらず、突然ログイン再設定完了のお知らせというメールが届き、連絡用アドレスに見知らぬGmailが追加されていました。ヤフーショッピングでの不審な購入履歴やヤフオクでの入札・落札等はなかったのですが、神奈川県内のファミリーマートでTポイントが全て使われてしまっていました。
ちなみに、ログイン再設定完了のお知らせメールには、受信したアドレス（＝自分が管理しているアドレス）のオプトアウトURLは貼ってあるにも関わらず、追加されたアドレスを締め出す方法は記載されていませんでした。
そもそも、今回のケースでは正確にはいきなりログイン再設定通知だけ来ていて、連絡用アドレスが追加されたという通知自体来ていませんが…

(2)問い合わせに対するYahooからの回答
メール文章を引用すると、
・第三者が不正にお客様のTカード番号を入手し、Tカード番号を入力して
Yahoo! JAPAN IDの本人確認を行い、連絡用メールアドレスの設定と
メール認証を設定した
のようです。

(3)その後私のほうで色々試したこと
・シークレットIDの設定
メールの傍受やログインはできなくなりましたが、上記のTカード番号を使った本人確認は元のIDでも通りそうです
・IDの変更
アドレスの変更やシークレットIDの設定はできますが、既に漏れているであろう元のIDは変更不可みたいです。コレ変更しようと思ったら別のアカウントを取得し直すしかなさそうです。

以上を総括すると、一度YahooIDが漏れてしまったら今までのIDを捨てて新たにIDを取り直す以外それを無効化する術がないこと、Tカード番号はクレカの番号と同じレベルで厳重に管理せねばならないことを痛感しました。

私のような被害を被る人が出ませんよう、これを読んだ皆様においてはくれぐれもご注意ください。長文失礼しました。

追加情報のコメントありがとうございます。今回は大変でしたね。

シークレットIDでも防げないことは調べていてわかったんですが自分自身がTポイントカードを持っていないために確認作業ができなかったために複数の情報源を探していました。

対策の一つにTカードとYahoo! JAPAN IDの連携を解除が有効なのかどうかの検討をしていて、解除すれば悪用の危険性はないのではないかと考えているんですが、検証できずに止まっている段階です。よければアカウントを取り直す前に試してみてもいいかもしれませんよ。

【重要】第三者のなりすましによるTポイントの不正利用について
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=17543&CP_SYUBETU=1

どうやってYahooのIDとTカードの番号を紐付けて知ることができたのかが判明しないので、広く悪用されているのかたまたま運悪く今回悪用されてしまったのかがわからないんですが、何か心当たりとかないでしょうか？