楽天サービスを安全に使うなら5つの不正ログイン対策が必要

楽天サイトは、「パスワード認証」のみでログインできてしまうため、昨今のセキュリティ事情から「非常に脆弱である」評価となります。

 

そこで今回、脆弱なセキュリティ基盤である楽天サービスを「できるだけ安全に使う」ための、おさえておくべき5つの不正ログイン対策について、以下説明していきます。

 

まずは、知っておくべき「ログイン認証の”要素”」です。

ログイン認証の「要素」とは?

ログイン認証の要素って、ご存知でしょうか?一覧にしてみました。

認証の要素要素の説明要素の例
記憶要素本人だけが知っている
(であろう)情報
・パスワード
・秘密の質問
・出身地は?
・ペットの名前は?
所持要素所持デバイス
所持アカウント
・SMS、メール通知し認証
・認証アプリを使用した認証
・電子証明書
生体認証本人の生体情報・指紋認証
・顔認証
・静脈認証
・網膜認証

上記一覧の要素を2つ用いると「2要素認証」、2つ以上であれば「多要素認証」といいます。

なぜ楽天サイトのログインが脆弱なのか?

楽天市場のログインは「記憶要素のみ」でログインできてしまいますね。

つまりは、適当なIDパスワードを入力してログインできてしまう可能性もあるんです。

複雑・文字列が長いパスワード設定していれば安全だと思っていませんか?

昨今のハッカーは、不正ログイン試行("クラッキング"といいます)に、次の手法を用います。

  • フィッシングサイトへのパスワード入力
  • 利用者の閲覧履歴、趣味嗜好からAIによるパスワード解析
  • キーロガー※ログインページの文字入力を記録する手法
    etc...

技術進歩により、ハッカーのクラッキング技術もアップしています。

如何にIDパスワードの記憶要素のみ認証が、ログインのセキュリティ対策として心許ないか、おわかり頂けるのではないでしょうか。

他のECサイトの不正ログイン対策は?

他のECサイトはどうでしょうか?

よく比較されるAmazon、Yahooショッピングは何れも2要素以上の認証方式です。

大手ECサイトでいうと、楽天市場だけ単一要素の認証なんですね。

単一認証の事案「7 Pay事件」で振り返る

2019年の「7Pay事件」を用いて説明します。

IDパスワード認証のみのため、不正ログインが多発した事件です。

決済システムですので、利用者に配慮した"考えうる限りの最高強度なパスワード対策"が必要でした。

楽天のサービスも同様ですね、決済が発生するサービスです。

楽天サポートになりすまし対策を聞いてみた

なりすましログインの未然の防止策について、楽天サポートへ問い合わせてみました。

不正ログインの対策したいんですけど、多要素認証って設定できます?
どうなの

多要素には対応しておりません。不正ログイン対策なら『ログインアラート』があります[/st-kaiwa]

ログインアラートは「事後の対策」ですよね。未然に防ぐ対策ってあります?
どうなの

・・・未然の不正ログイン対策は、ありません[/st-kaiwa]

口座連携すべて解除しようかと思案しましたが、楽天サービスを使わないという結論にはなりませんよね。

ポイントもたまって便利ですので。

そこで、有事の対応について確認してみました。

楽天不正ログイン対策1:ログインアラート

ログイン確認のメールを通知する設定です。

事後ですが、不正ログインを検知できないよりはマシです。

楽天不正ログイン対策2:ログイン履歴の確認

「会員情報の追加登録」サイトから、ログイン履歴を確認できるようにしておきましょう。

楽天不正ログイン対策3:パスワード変更手順

会員情報の管理トップから変更できますので、手順を覚えておきましょう。

ユーザIDが変更できることも覚えておきましょう。

楽天不正ログイン対策4:問い合わせ方法の確認

いざという時、何処からどのように問い合わせればいいでしょうか?

「ヘルプ・問い合わせ」サイトの下から「チャット・電話・メール」いずれかで問い合わせできますので、覚えておきましょう。

楽天不正ログイン対策5:退会手順

最終手段です。

不正ログインを止められないようであれば、退会して被害を少なくするしかありません。

退会すると、楽天ポイントも消失してしまいます。

まとめ

楽天サイトは未然の不正ログイン対策はできません。

備えあればうれいなし、普段から自身で不正ログイン対策するほかありません。

  • この記事を書いた人

どうなの

デジタルの「わかりにくい・ズバり知りたい」をわかりやすく。 システム管理のプロが「安全・便利に使う」ICTノウハウ発信中

-セキュリティ
-