アフィリエイトサービス(以下「ASP」)バリューコマース 登録前に知っておきたい、安全面のリスク・危険性をかなり辛口で評価しました。
ITに疎い・デジタルが苦手という方向け、情報セキュリティ資格を有する筆者がわかりやすく解説していきます。
この記事を書いた人
- 5社を渡り歩いたIT管理15年プロ
- 情報セキュリティ(SG)資格保持
- ITIL資格で改善!実践知10年以上
この記事をお読み頂けば、バリューコマースに登録する個人情報で気をつけること、その対策について知ることができますよ。
バリューコマースの安全性:セキュリティ意識は低い
以下、「安全性5つの観点」でバリューコマースを評価しました。
| 安全性の観点 | 評価 | 評価の理由 |
|---|---|---|
| 1. セキュリティ認証 | ☆☆☆(0) | 期限切れ認証をサイト掲載中 |
| 2. 不正ログイン防止策 | ☆☆☆(0) | いっさい防げず検知もできない |
| 3. インシデントの発生 | ★★☆(2) | 過去不正アクセス1件あり |
| 4. 地政学的リスク | ★★★(3) | リスクなし |
| 5. プライバシー、個人情報 | ★★★(3) | いい感じに示されている |
| ★8点 | セキュリティ意識は低いかも |
この結論に至る理由について、以下説明していきます。
まずは評価のベースとなる、バリューコマースの基本情報を見ていきましょう。
バリューコマースの会社概要
| 会社名 | バリューコマース株式会社 |
| 所在地 | 〒102-8282 東京都千代田区紀尾井町1-3 東京ガーデンテラス紀尾井町 紀尾井タワー21階 |
| 設立 | 1996年 |
| 事業内容 | ECソリューションズ事業 |
| サイト登録 | 75万件(2022年8月調べ) |
バリューコマースに登録する個人情報
登録する個人情報の例
- 名前※本名
- 住所
- 電話番号
- 生年月日
- 性別
- メールアドレス
- 口座情報
次に、5つの観点で安全性チェックした結果です。
1. バリューコマース:セキュリティ認証取得なし
セキュリティ認証とは?
主に、次のような認証制度を取得していることで評価できます。
| セキュリティ認証制度 | どのような証明なの? |
|---|---|
| ISO/IEC27000、または27001 | 会社全体でセキュリティ対策している証明 |
| ISO/IEC27017 | クラウド特化なセキュリティ対策の証明 |
| ISO/IEC27018 | クラウドの個人情報保護バッチりな証明 |
| Pマーク(プライバシーマーク) | 個人情報の取り扱いが適切な証明 *国内のみ有効 |
バリューコマースは「ISO/IEC270001」認証取得のロゴを掲載していますが、2019年7月19日で有効期限が切れており、何ら安全性を示すものではありません。
プライム市場に上場している企業が "期限切れのセキュリティ認証を掲載しっぱなし" という状態は、評価を下げざるを得ません。
2. バリューコマース:不正ログイン対策いっさいなし
ほかの人が勝手にログインできない方法から、ログインされてしまった場合に「ヤバい!危険!」知る仕組みです。
- ログインする方法
- ログインを知らせる通知
- ログイン履歴チェック
- メールアドレスでログインのリスク
以下順に説明していきます。
①ログイン方法:パスワードのみ
IDパスワードを知っていれば、本人以外でもログインできてしまいます。
または、適当にIDパスワードを入力してもログインされてしまうかもしれませんね。
これを防ぐには、本人確認のちログインする「多要素な認証」でしょう。
パスワードのみログインの危険性は、IPA公開「情報セキュリティ10大脅威 2022」が参考になりますね。
赤枠、およそ半分の6つは「何らかの方法でパスワードを盗み出され、不正ログインされたことによる被害」です。
そのため、ASPサービス側としては "本人以外でログインできない仕組みとする" ことであり、バリューコマースの課題でしょう。
②ログイン通知:なし
「バリューコマースにログインしましたよー」
本人へメールなどで通知する方法ですが、バリューコマースには備わっていません。
なぜ必要なのか?
いち早く不正ログインを察知して、「パスワードを変更する」または「バリューコマースへ問い合わせ」不正利用による被害を防ぐ対策ですね。
期待値として、昨今であれば「リスクベース認証」という方法があります。
「リスクベース認証」とは?
ふだんのログインの傾向を分析して、
「ログイン場所、デバイス、ブラウザー」 ふだんと違くね?
システムが検知した際に、メール通知する方法。
実際には、不正ログインされた「あとの祭り」状態ですが、知らないで不正ログインされ放題になるよりはマシですね。
③ログイン履歴:チェックできない
「いつ、だれが、どの場所から、どのデバイスを使いログインしたのか?」
ログイン履歴から不正アクセスをチェックしたいところですが、バリューコマースではできません。
④メールアドレスでログインのリスク
登録する「メールアドレス」がログインIDとして使用されるため、ふだん送受信で使うメールとは区分した方がより安全です。
なぜなら、登録メールアドレスを知る悪意ある第三者が、パスワードを1文字ずつ変えてログインを試みる「ブルートフォース」というサイバー攻撃を仕掛ける可能性があるためですね。
GmailやOutlookといった「無料メールアドレス」をバリューコマースに登録する方は多いようです。
そのため、「メールアカウントを追加する」など調べて、バリューコマースのログインIDとすることをおすすめします。
-
Outlookで複数メールアドレス【安全に使い分ける方法】IT管理プロが解説
続きを見る
バリューコマース登録の流れ
バリューコマース登録の流れ
- バリューコマースにアクセス
- 「会員登録無料」クリック
- メールアドレス入力して送信
- バリューコマースよりメール受信
- メール本文のアドレスからアクセス
- 会員情報登録する
- 契約者情報
- サイト情報
- 金融機関口座情報
- 参加申し込み完了メール通知
- 本文内の仮パスワードを控える
- メール本文リンクからアクセス
- ログイン、パスワード変更
- パスワード:8~100文字以内の半角英数字・記号
- 秘密の質問
- バリューコマース登録完了
バリューコマースのパスワード設定、管理方法【当サイトおすすめ】
「バリューコマースのパスワード、何を設定しようか…」
パスワード管理ツールの「パスワード作成」機能を使う方法がおすすめです。
因みに筆者は、「1Password」というパスワード管理ツール「パスワードジェネレーター」機能を使って、バリューコマースのパスワードをお任せ設定しました。
生成するパスワードの「文字数、数字や記号を含む」など、パスワード設定のルールに合わせてこまかく指定できますよ。
あわせて、頻繁にアクセスする「提携中プログラム」やセルフバックの「バリューポイント」のアドレス、また設定した「秘密の質問」まで、1Passwordでまとめて管理できます。
こんな感じですね。
1Passwordは「登録したパスワードをスマホでも使える」また、「IDパスワードに付随する情報もまとめて管理できる」且つ、パスワードの共有もできるので、情報管理ポータルな使い方がおすすめです。
因みに1Passwordは「ソースネクスト」から3年版を買い切りで購入すると、だいぶおトクですよ。
\使い始めまで安心の日本語サポート/
1Password以外でもよいので、複数アフィリエイトサイト登録するなら、パスワード管理ツールは必須レベルです。
3. バリューコマース:過去1件インシデント事案あり
インシデントとは?
バリューコマースを「使えない、使いたくない」と思わせるような出来事を指す。
- システム障害で利用できなかった
- 個人情報を漏らした
不正ログインの詳しくはリンク先ですね。
なお評価は、「有効期限切れISMSセキュリティ認証を掲載しっぱなしである」加味しています。
その他、バリューコマースのサービスが利用できないといったトラブルの情報はありませんでした。
4. バリューコマース:地政学的リスクなし
「地政学的リスク」とは?
地理的な位置関係における、「政治的・社会的・軍事的」観点からのリスクがあることを指す。
例)海外から見た日本は「地震大国」
→インフラリスクあり、電気供給に不安を抱えている
5. バリューコマース:わかりやすい個人情報保護方針
バリューコマースの「個人情報保護方針」には、事業展開ごと(下図参考)個人情報の取り扱うタイミングなど、イイ感じの粒度間でわかりやすく書いてあります。
興味がある方は、ご一読されては如何でしょうか。
【参考】バリューコマース > 個人情報保護方針
まとめ
バリューコマースを、安全性5つの観点で評価した結果のまとめ一覧です。
| 安全性の観点 | 評価 | 評価の理由 |
|---|---|---|
| 1. セキュリティ認証 | ☆☆☆(0) | 期限切れ認証をサイト掲載中 |
| 2. 不正ログイン防止策 | ☆☆☆(0) | いっさい防げず検知もできない |
| 3. インシデントの発生 | ★★☆(2) | 過去不正アクセス1件あり |
| 4. 地政学的リスク | ★★★(3) | リスクなし |
| 5. プライバシー、個人情報 | ★★★(3) | いい感じに示されている |
| ★8点 | セキュリティ意識は低いかも |
期限の切れたセキュリティ認証を、 "2年以上も放置して掲載している" 背景からして、
セキュリティの取り組み、意識は低い
このような評価にならざるを得ません。
バリューコマースを利用する側が対策できることは、不正ログイン被害を最小にすることくらいでしょう。
不正ログイン対策のポイント
- 推察されない、複雑で長いパスワードを設定する
- いつでもパスワード変更できるよう手順を確認しておく
- ふだん送受信で使っていないメールアドレスの登録がおすすめ
- たとえ身内、家族であってもログイン情報を教えてはいけない
- すぐに無効化できる口座情報を登録する
きちんと安全性・リスクも知ったうえで、バリューコマースを「利用する・しない」ご検討してみてくださいね。
他ASPの安全性はコチラ
■ASP5社の安全性ランキング
-
アフィリエイトは危ない?【安全性ランキング】情報セキュリティ観点で5社を評価
続きを見る
