アフィリエイトサービス(以下「ASP」)A8.net(エーハチネット) 登録前に知っておきたい、安全面のリスク・危険性をかなり辛口で評価しました。
ITに疎い・デジタルが苦手という方向け、情報セキュリティ資格を有する筆者がわかりやすく解説していきます。
この記事を書いた人
- 5社を渡り歩いたIT管理15年プロ
- 情報セキュリティ(SG)資格保持
- ITIL資格で改善!実践知10年以上
この記事をお読み頂けば、A8netに登録する個人情報で気をつけること、その対策について知ることができますよ。
A8.netの安全性:不正ログイン対策は必至
A8.netを、安全性5つの観点で評価した結果の一覧です。
| 安全性の観点 | 評価 | 評価の理由 |
|---|---|---|
| 1. セキュリティ認証 | ★★★(3) | Pマーク取得 |
| 2. 不正ログイン対策 | ☆☆☆(0) | いっさい防げず検知もできない |
| 3. インシデント発生 | ★☆☆(1) | 2022年8月まで4件 |
| 4. 地政学的リスク | ★★★(3) | リスクなし |
| 5. プライバシー、個人情報 | ★★★(3) | いい感じの粒度で示している |
| ★10点 | 不正ログインが心配 |
この結論に至る理由について、以下説明していきます。
まずは評価のベースとなる、もしもアフィリエイトの基本情報を見ていきましょう。
A8.netの会社概要
| 会社名 | 株式会社ファンコミュニケーションズ (英文表記:FAN Communications, Inc.) |
| 所在地 | 〒150-0002 東京都渋谷区渋谷1-1-8青山ダイヤモンドビル |
| 設立 | 1999年10月1日 |
| 事業内容 | インターネット広告関連事業 |
| サイト登録 | 300万件(2021年9月) |
A8.netに登録する個人情報
登録する個人情報の例
- 名前※本名
- 住所
- 電話番号
- 生年月日
- 性別
- メールアドレス
- 口座情報
次に、5つの観点で安全性チェックした結果です。
1. A8.net:Pマーク取得済み
セキュリティ認証とは?
主に、次のような認証制の取得を評価基準としています。
| セキュリティ認証 | どのような証明なの? |
|---|---|
| ISO/IEC27000、または27001 | 会社全体でセキュリティ対策している証明 |
| ISO/IEC27017 | クラウド特化なセキュリティ対策の証明 |
| ISO/IEC27018 | クラウドの個人情報保護バッチりな証明 |
| Pマーク(プライバシーマーク) | 個人情報の取り扱いが適切な証明 *国内のみ有効 |
A8.netは「Pマーク」、つまり "個人情報の取り扱いを心得ている" と認証されています。
2. A8.net:不正ログイン対策いっさいなし
ほかの人が勝手にログインできない方法から、もしログインされてしまった場合に「ヤバい!危険!」知る仕組みです。
- ログインする方法
- ログインを知らせる通知
- ログイン履歴チェック
- ユーザーIDは変更不可
以下順に説明していきます。
①ログイン方法:パスワードのみ
A8.netは、本人以外でもIDパスワードを知っていればログインできてしまいます。
または、「適当にIDパスワード入力したらログインできた」なんてこと、無きにしも非ずですね。
これを防ぐには、本人確認のちログインする「多要素な認証」が効果的です。
パスワードのみログインの危険性は、IPA公開「情報セキュリティ10大脅威 2022」が参考になりますね。
赤枠、およそ半分の6つは「何らかの方法でパスワードを盗み出され、不正ログインされたことによる被害」です。
そのため、ASPサービス側としては "本人以外でログインできない仕組みとする" ことであり、バリューコマースの課題でしょう。
②ログイン通知:なし
「A8.netにログインしましたよー」
本人へメールなどで通知する方法ですが、A8.netには備わっていません。
なぜ必要なのか?
いち早く不正ログインを察知して、「パスワードを変更する」または「A8.netへ問い合わせ」不正利用による被害を防ぐ対策ですね。
備わってほしい理想として、昨今であれば「リスクベース認証」という方法です。
「リスクベース認証」とは?
ふだんのログインの傾向を分析して、
「ログイン場所、デバイス、ブラウザー」 ふだんと違くね?
システムが検知した際に、メール通知する方法。
実際、ログインされた「あとの祭り」状態ですが、知らないで不正ログインされ放題になるよりはマシです。
③ログイン履歴:チェックできない
「いつ、だれが、どの場所から、どのデバイスを使いログインしたのか?」
ログイン履歴から不正アクセスをチェックしたいところですが、A8.netではできません。
④ユーザーIDは変更不可
A8.net会員登録のときに設定する「ユーザーID」ですが、
一度登録したら、
二度と変更できません。
Q. ログインID、パスワードを変更することは出来ますか?
A. ログインIDの変更はできません。
A8.netヘルプより引用
そしてなぜ危険なのか?ですが、
第三者にユーザーIDを知られてた場合、不正ログインされるリスクが高まるからです。
そのため、A8.netのログインID登録で気をつけるポイントです。
ログインID設定の推奨
- 他人に推察されにくい
- 6~20文字の半角英数字
- できるだけ長い文字列で設定
パスワード設定と考え方は同じですね。
実際どのタイミングでログインIDを登録するのか?
以下の会員登録の流れで⑦が該当します。
A8.net登録の流れ
- A8.netにアクセス
- 「会員登録無料」クリック
- メールアドレス入力
- 利用規約にチェック入れる
- 「仮登録メールを送信する」
- 受信メール本文のアドレスにアクセス
- アカウント情報を入力する
- ログインID:6~20文字以内、半角英数字
- パスワード:6~20文字以内、半角英数字・記号
- メディア登録(ブログサイト)
- 口座情報入力
- A8.net登録完了
ユーザーIDは設定したら、たとえ身内、家族であろうと教えてはいけません。
どこから漏れてしまうか、わかりませんので。
不用意にユーザーIDを晒さないようにしましょう。
A8.netログインID設定、管理方法|当サイトおすすめ
「A8.netのログインID、どうやって設定しようか…」
パスワード管理ツールの「パスワード作成」機能を使う方法がおすすめです。
因みに筆者は、「1Password」というパスワード管理ツール「パスワードジェネレーター」機能を使って、A8.netのログインIDとパスワードをお任せ設定しました。
生成するパスワードの「文字数、数字や記号を含む」など、パスワード設定のルールに合わせてこまかく指定できますよ。
あわせて、頻繁にアクセスする「提携中プログラム」や「セルフバック」サイトのアドレスなど、すべての情報を1Passwordでまとめて管理できます。
こんな感じですね。
1Passwordは「登録したパスワードをスマホでも使える」また、「IDパスワードに付随する情報もまとめて管理できる」且つ、パスワードの共有もできるので、情報管理ポータルな使い方がおすすめです。
因みに1Passwordは「ソースネクスト」から3年版を買い切りで購入すると、だいぶおトクですよ。
\使い始めまで安心の日本語サポート/
1Password以外でもよいので、複数アフィリエイトサイト登録するなら、パスワード管理ツールは必須レベルでしょう。
3. A8.net:サービス障害2022年だけで4件発生
インシデントとは?
A8.netを「使えない、使いたくない」と思わせるような出来事を指す。
- システム障害で利用できなかった
- 個人情報を漏らした
サービス障害は2022年1月~8月で4件発生
| 障害発生日時 | 障害内容 |
|---|---|
| 2022年4月20日(水)04:45頃から、約4時間 | 一部レポートデータが正常に反映されない |
| 2022年2月22日(火)18:30頃から、約6時間 | 管理画面へのアクセスが不安定 |
| 2022年1月31日(月)12:50頃から、約2日間 | 画面遷移をした際にエラーになる |
| 2022年1月15日(土)16:00頃から、約10時間 | 一部の広告リンクが正常に遷移しない |
サービス利用するに影響する、大きなトラブルは赤字3件ですね。
その他、メンテナンスも4件確認しました。
つまり、「わりとよくサービス利用できない状態になる」こと、覚えておきましょう。
過去「業務用ノートパソコンの紛失」事故あり
2011年4月12日とかなり昔の話ですが、ファンコミュニケーションズのニュースリリースがあります。
ただし、第三者への情報漏えいや不正利用には発展していないというニュースでした。
4. A8.net:地政学的リスクなし
「地政学的リスク」とは?
地理的な位置関係により、「政治的・社会的・軍事的」リスクがあることを指す。
例)海外から見た日本は「地震大国」
→インフラリスクあり、電気供給に不安を抱えている
グループ会社である「シーサー株式会社」傘下に、ベトナム拠点が存在します。
スマートフォンアプリの企画・開発、つまり「オフショア開発」メインの企業でしょう。
そのため、地政学的リスクの観点では「影響なし」という評価です。
5. A8.net:わかりやすい個人情報保護方針
A8.netは、個人情報について、
- どのように取得するのか?
- 分類から、管理方針
- 利用の目的
- 利用範囲
- 本人からの要求に対する対応
などなど、いい感じの粒度で、網羅性の高い書きっぷりでした。
さすがPマーク取得しているだけあります。
まとめ
A8.netを、安全性5つの観点で評価した結果のまとめ一覧です。
| 安全性の観点 | 評価 | 評価の理由 |
|---|---|---|
| 1. セキュリティ認証 | ★★★(3) | Pマーク取得 |
| 2. 不正ログイン防止策 | ☆☆☆(0) | 不正ログイン防止策なし |
| 3. インシデントの発生 | ★☆☆(1) | 2022年1月~8月で障害4件 |
| 4. 地政学的リスク | ★★★(3) | リスクなし |
| 5. プライバシー、個人情報 | ★★★(3) | いい感じの粒度で示している |
| ★10点 | 不正ログインが心配 |
A8.netを利用するのであれば、個人による不正ログイン対策は必至ですね。
次のように備えておけば、いざという時の被害を最小化できるでしょう。
不正ログイン対策のポイント
- 推察されない、複雑で長いログインIDパスワードを設定する
- いつでもパスワード変更できるよう手順を確認しておく
- たとえ身内、家族であってもログイン情報を教えてはいけない
- すぐに無効化できる口座情報を登録する
「A8.netは国内最大級のASP!」
「利用者が多くて安心!」
「よい評判・口コミも多い!」
だから安心ではない、ということでした。
きちんと安全性・リスクも知ったうえで、A8.netを「利用する・しない」ご検討してみてくださいね。
他ASPの安全性はコチラ
■ASP5社の安全性ランキング
-
アフィリエイトは危ない?【安全性ランキング】情報セキュリティ観点で5社を評価
続きを見る
