楽天サイトは、「パスワード認証」のみでログインできてしまうため、昨今のセキュリティ事情から「非常に脆弱である」評価となります。
そこで今回、セキュリティ対策が足りない楽天サービスを「できるだけ安全に使う」ための、おさえておくべき5つの不正ログイン対策について、以下説明していきます。
まずは、知っておくべき「ログイン認証の”要素”」です。
ログイン認証の「要素」とは?
ログイン認証の要素って、ご存知でしょうか?
以下一覧にしてみました。
| 認証の要素 | 要素の説明 | 要素の例 |
|---|---|---|
| 記憶要素 | 本人だけが知っている (であろう)情報 | ・パスワード ・秘密の質問 ・出身地は? ・ペットの名前は? |
| 所持要素 | 所持デバイス 所持アカウント | ・SMS、メール通知し認証 ・認証アプリを使用した認証 ・電子証明書 |
| 生体認証 | 本人の生体情報 | ・指紋認証 ・顔認証 ・静脈認証 ・網膜認証 |
上記一覧の要素を2つ用いると「2要素認証」、2つ以上であれば「多要素認証」といいます。
なぜ楽天サイトのログインが脆弱なのか?
楽天市場のログインは「記憶要素のみ」でログインできてしまいます。
つまりは、適当なIDパスワードを入力してログインできてしまう可能性があるということです。
複雑・文字列が長いパスワード設定していれば安全だと思っていませんか?
昨今のハッカーは、不正ログイン試行("クラッキング"といいます)に、次の手法を用います。
- フィッシングサイトへのパスワード入力
- 利用者の閲覧履歴、趣味嗜好からAIによるパスワード解析
- キーロガー※ログインページの文字入力を記録する手法
etc...
技術進歩により、ハッカーのクラッキング技術もアップしています。
如何にIDパスワードの記憶要素のみ認証が、ログインのセキュリティ対策としては足りないのか、お分かり頂けますよね。
他のECサイトの不正ログイン対策は?
他のECサイトといえば、よく比較されるAmazon、Yahooショッピングは何れも2要素以上の認証方式です。
大手ECサイトでいうと、楽天市場だけ単一要素の認証なんですね。
単一認証の事案「7 Pay事件」で振り返る
2019年の「7Pay事件」を用いて説明します。
IDパスワード認証のみのため、不正ログインが多発した事件です。
決済システムですので、利用者に配慮した"考えうる限りの最高強度なパスワード対策"が必要でした。
楽天のサービスも同様ですね、決済が発生するサービスです。
楽天サポートになりすまし対策を聞いてみた
なりすましログインの未然の防止策について、楽天サポートへ問い合わせてみた結果です。
- ログインは多要素認証に対応していない
- 不正ログイン対策は「ログインアラート」推奨
- ログインアラート前、未然に防ぐ方法は「ありません」
他同様のサービスよりも、第三者に不正ログインされるリスクが高いと評価しています。
しかしながら、楽天サービスを使わないという結論にはなりません。ポイントもたまって便利ですので。
そこで、いざ不正ログインされたときの対処法について確認、以下まとめてみました。
楽天不正ログイン対策1:ログインアラート
ログイン確認のメールを通知する設定です。
事後ですが、不正ログインを検知できないよりはマシです。
楽天不正ログイン対策2:ログイン履歴の確認
「会員情報の追加登録」サイトから、ログイン履歴を確認できるようにしておきましょう。
楽天不正ログイン対策3:パスワード変更手順
会員情報の管理トップから、パスワードだけでなくユーザID変更もできますので、手順を覚えておきましょう。
楽天不正ログイン対策4:問い合わせ方法の確認
いざという時、何処からどのように問い合わせればいいでしょうか?
「ヘルプ・問い合わせ」サイトの下から「チャット・電話・メール」いずれかで問い合わせできますので、覚えておきましょう。
楽天不正ログイン対策5:退会手順
最終手段です。
不正ログインを止められないようであれば、退会して被害を少なくするしかありません。
退会すると、楽天ポイントも消失してしまいます。
まとめ
楽天サービスは、パスワードのみで簡単に不正ログインできてしまうセキュリティです。
そのため、楽天サービスを利用し続けるなら「不正ログインされたときの対処法」を知っておくようにしましょう。
