無料のアフィリエイトサービス「もしもアフィリエイト」登録前に知っておきたい、安全面のリスク・危険性をかなり辛口で評価しました。
ITに疎い・デジタルが苦手という方向け、情報セキュリティ資格を有する筆者がわかりやすく解説していきます。
この記事を書いた人
- 5社を渡り歩いたIT管理15年プロ
- 情報セキュリティ(SG)資格保持
- ITIL資格で改善!実践知10年以上
この記事をお読み頂けば、もしもアフィリエイトに登録する個人情報で気をつけること、危ないことについて知ることができますよ。
もしもアフィリエイトの安全性:かなり低い
安全性5つの観点で評価したところ、もしもの安全性は「かなり低い」結果でした。
| 安全性の観点 | 評価 | 評価のポイント |
|---|---|---|
| 1. セキュリティ認証 | ☆☆☆(0) | 認証取得なし |
| 2. 不正ログイン防止策 | ☆☆☆(0) | いっさい防げず検知もできない |
| 3. インシデントの発生 | ★★★(3) | インシデント事例なし |
| 4. 地政学的リスク | ★☆☆(1) | 個人情報は中国企業も取り扱う |
| 5. プライバシー、個人情報 | ★☆☆(1) | 口座情報の取り扱いがあいまい |
| ★5点 | 不正ログインと口座登録に注意! |
この理由について、以下説明していきます。
まずは評価のベースとなる、もしもアフィリエイトの基本情報を見ていきます。
もしもアフィリエイトの会社概要
| 会社名 | 株式会社もしも (Moshimo Co.,Ltd.) |
| 所在地 | 〒140-0002 東京都品川区東品川2-2-24 天王洲セントラルタワー12F |
| 設立 | 2004年12月20日 |
| 事業内容 | コマース事業 マーケティング事業 |
| 株主 | 株式会社スクロール360 |
| サイト登録 | 70万件(2022年4月) |
もしもアフィリエイトに登録する個人情報
もしもに登録する個人情報の例
- 名前※本名
- 住所
- 電話番号
- 生年月日
- 性別
- メールアドレス
- 口座情報
次に、5つの観点で安全性チェックした結果です。
1. もしもアフィリエイト:セキュリティ認証取得なし
セキュリティ認証とは?
主に、次のような認証制度を取得していることで評価できます。
| セキュリティ認証 | どのような証明なの? |
|---|---|
| ISO/IEC27000、または27001 | 会社全体でセキュリティ対策している証明 |
| ISO/IEC27017 | クラウド特化なセキュリティ対策の証明 |
| ISO/IEC27018 | クラウドの個人情報保護バッチりな証明 |
| Pマーク(プライバシーマーク) | 個人情報の取り扱いが適切な証明 *国内のみ有効 |
取得目的は展開する事業ごとそれぞれのため、すべて必要であはりません。
ですが、もしもアフィリエイトのような「個人情報を取り扱う」企業であれば、Pマーク取得は必須レベルでしょう。
2. もしもアフィリエイト:不正ログイン対策なし
ほかの人が勝手にログインできない方法から、もしログインされてしまった場合に「ヤバい!危険です!」知る仕組みです。
- 認証は「パスワードのみ」
- ログインを知らせる通知
- ログイン履歴チェック
- IDに関する表記ゆれに注意
- ユーザーIDは変更不可
以下順に説明していきます。
①ログイン方法:パスワードのみ
もしもアフィリエイトは、本人以外でもIDパスワードを知っていればログインできてしまいます。
または、適当にIDパスワードを入力してもログインされてしまうかもしれません。
これを防ぐには、本人確認のちログインする「多要素な認証」が効果的です。
パスワードのみログインの危険性は、IPA公開「情報セキュリティ10大脅威 2022」が参考になりますね。
赤枠、およそ半分の6つは「何らかの方法でパスワードを盗み出され、不正ログインされたことによる被害」です。
そのため、ASPサービス側としては "本人以外でログインできない仕組みとする" ことであり、もしもアフィリエイトの課題です。
②ログインを知らせる通知なし
「もしもアフィリエイトにログインしましたよー」
本人へメールなどで通知する方法ですが、もしもアフィリエイトには備わっていません。
なぜ必要なのか?
いち早く不正ログインを察知して、「パスワードを変更する」または「もしもアフィリエイトへ問い合わせ」不正利用による被害を防ぐ対策ですね。
備わってほしい理想としては、「リスクベース認証」でしょう。
「リスクベース認証」とは?
ふだんのログインの傾向を分析して、
「ログイン場所、デバイス、ブラウザー」 ふだんと違くね?
システムが検知した際に、メール通知する方法。
あとの祭り的な機能ですが、「不正ログインに気づかないよりはマシ」といったところでしょう。
③ログイン履歴チェックできない
「いつ、だれが、どの場所から、どのデバイスを使いログインしたのか?」
ログイン履歴から不正アクセスをチェックしたいところですが、もしもアフィリエイトではできません。
④IDの表記ゆれに注意
IDの表記ゆれに注意!
登録前は「ユーザーID」表記
↓
登録後は「ログインID」表記
もしも登録後、
「あれ?設定したユーザーIDが見つからない」
混乱しないよう、気をつけましょう。
⑤ユーザーIDは変更不可
会員登録のときに設定する「ユーザーID」ですが、
一度登録したら、
二度と変更できません。
Q. サイト登録内容はそのままで、アカウント名義を変更することは可能でしょうか?
A. ユーザー名のご変更であれば、登録情報設定の画面より変更をしていただくことができます。IDの場合は変更できない仕様となっています。
もしもアフィリエイト>よくある質問
そして「なぜ危険なのか?」ですが、
第三者にユーザーIDを知られてた場合、不正ログインされるリスクが高まるからです。
そのため、もしものユーザーID設定で気をつけるポイントです。
もしもユーザーID設定の推奨
- 他人に推察されにくい
- できるだけ長く
- 16文字以内で設定
パスワード設定と同じ考え方ですね。
実際どのタイミングで設定するのか?ですが、以下もしも会員登録の流れで⑤が該当します。
もしもアフィリエイト登録の流れ
- もしもアフィリエイトにアクセス
- 「会員登録(無料)」クリック
- メールアドレスを入力、本人確認する
- 受信メール本文のアドレスにアクセス
- アカウント情報を入力する
- ユーザーID:4~16文字以内、半角英数字・記号
- パスワード:4~100文字以内、半角英数字・記号
- もしも会員登録の完了
そしてユーザーIDは設定したら、たとえ身内、家族であろうと教えてはいけません。
どこから漏れてしまうか、わかりませんので。
もしもアフィリエイトのユーザーIDは、不用意に晒さないようにしましょう。
もしもIDパスワード設定方法|当サイトおすすめ
「もしものユーザーID、どう設定すればいいの…」
パスワード管理ツールの「パスワード作成」機能を使う方法がおすすめです。
因みに筆者は、「1Password」というパスワード管理ツール「パスワードジェネレーター」機能を使って、もしものユーザーIDとパスワードをお任せ設定しました。
生成するパスワードの「文字数、数字や記号を含む」など、パスワード設定のルールに合わせてこまかく指定できますよ。
あわせて、頻繁にアクセスする「提携中プロモーション」や「キャッシュバック」サイトのアドレスなど、すべての情報を1Passwordでまとめて管理できます。
こんな感じですね。
1Passwordは「パスワードをスマホ同期で使える」また、「複数ウェブサイトアドレスが登録できて便利」なので、とても好評です(筆者見解)。
因みに1Passwordは「ソースネクスト」から3年版を買い切りで購入すると、だいぶおトクです。
\使い始めまで安心の日本語サポート/
1Password以外でもよいので、複数アフィリエイトサイト登録するなら、パスワード管理ツールは必須レベルでしょう。
3. もしもアフィリエイト:インシデント事案なし
インシデントとは?
もしもアフィリエイトを「使えない、使いたくない」と思わせるような出来事を指す。
- 個人情報を漏らした
- システム障害で利用できなかった
調べてみましたが、インシデント事例ありませんでした。
4. もしもアフィリエイト:地政学的リスクあり
「地政学的リスク」とは?
地理的な位置関係により、「政治的・社会的・軍事的」リスクがあることを指す。
例)海外から見た日本は「地震大国」
→インフラリスクあり、電気供給に不安を抱えている
そして、もしもアフィリエイト利用における地政学的リスクは、
個人情報の共同利用者に、「成都音和娜網絡服務」という中国企業が介入していることです。
そして、どのようなリスクなのか?というと、
中国企業は中国政府の要請があれば、すべての情報を提出なければならないことが法律で定められていることです。
よって、もしもアフィリエイトに登録する個人情報は「中国政府も握ることになる」この事実を、知っておきましょう。
因みに、「成都音和娜網絡服務」を調べてみると、どうやらEコマース(電子商取引)のデータ入力専門の合弁会社らしいです。
5. もしもアフィリエイト:口座登録リスクあり
もしものプライバシーポリシー「個人情報の定義」より抜粋です。
・当社所定の申込用紙(入力画面を含みます。)にお客様が記載したお名前、ご住所、お電話番号、生年月日、メールアドレスその他「属性情報」(個人情報の提供後に当社がお客様から通知を受ける等により知り得た変更情報を含みます。)。
もしもアフィリエイト>個人情報の定義 より引用
その他「属性情報」で口座情報を示している?といえばそうかもしれませんが、示していないとも受け取れます。
つまり、「口座情報に関する取り扱いの定義がとてもあいまい」ですね。
そのため、
- 報酬受け取りのトラブル
- 口座情報の取り扱いトラブル
このような場合、もしもが規定していないことで「責任の所在があいまいになる可能性」があります。
そして、いちど口座情報を登録すると、修正はできますが「任意で削除できない」ことも覚えておきましょう。
因みに他アフィリエイトサイト「A8.net、afb、バリューコマース、アクセストレード」といったメジャーどころは、”口座”または”報酬”といった形で、"ちょうどよい抽象度で" 個人情報であることを示しています。
まとめ
もしもアフィリエイトの安全性が「低い」根拠および、個人情報を預けるリスクについて解説してきました。
| 安全性の観点 | 評価 | 評価のポイント |
|---|---|---|
| 1. セキュリティ認証 | ☆☆☆(0) | 認証取得なし |
| 2. 不正ログイン防止策 | ☆☆☆(0) | いっさい防げず検知もできない |
| 3. インシデントの発生 | ★★★(3) | インシデント事例なし |
| 4. 地政学的リスク | ★☆☆(1) | 個人情報は中国企業も取り扱う |
| 5. プライバシー、個人情報 | ★☆☆(1) | 口座情報の取り扱いがあいまい |
| ★5点 | 不正ログインと口座登録に注意! |
利用者側としての、不正ログインに対する備えです。
不正ログイン対策のポイント
- 推察されない、複雑で長いログインIDパスワードを設定する
- いつでもパスワード変更できるよう手順を確認しておく
- たとえ身内、家族であってもログイン情報を教えてはいけない
- すぐに無効化できる口座情報を登録する
巷で溢れかえっている、
「会員登録は無料!」
「セルフバックやW報酬がおトク!」
など、上手い話だけではありませんので。
きちんと安全性・リスクも知ったうえで、もしもアフィリエイトを「利用する・しない」ご検討してみてくださいね。
■ASP5社の安全性ランキング
-
アフィリエイトは危ない?【安全性ランキング】情報セキュリティ観点で5社を評価
続きを見る
