セキュリティ

楽天サービスを安全に使うなら5つの不正ログイン対策が必要

2020年11月19日

楽天サイトは、「パスワード認証」のみでログインできてしまうため、昨今のセキュリティ事情から「非常に脆弱である」評価となります。

そこで今回、セキュリティ対策が足りない楽天サービスを「できるだけ安全に使う」ための、おさえておくべき5つの不正ログイン対策について、以下説明していきます。

まずは、知っておくべき「ログイン認証の”要素”」です。

ログイン認証の「要素」とは?

ログイン認証の要素って、ご存知でしょうか?

以下一覧にしてみました。

認証の要素要素の説明要素の例
記憶要素本人だけが知っている
(であろう)情報
・パスワード
・秘密の質問
・出身地は?
・ペットの名前は?
所持要素所持デバイス
所持アカウント
・SMS、メール通知し認証
・認証アプリを使用した認証
・電子証明書
生体認証本人の生体情報・指紋認証
・顔認証
・静脈認証
・網膜認証

上記一覧の要素を2つ用いると「2要素認証」、2つ以上であれば「多要素認証」といいます。

なぜ楽天サイトのログインが脆弱なのか?

楽天市場のログインは「記憶要素のみ」でログインできてしまいます。

つまりは、適当なIDパスワードを入力してログインできてしまう可能性があるということです。

複雑・文字列が長いパスワード設定していれば安全だと思っていませんか?

昨今のハッカーは、不正ログイン試行("クラッキング"といいます)に、次の手法を用います。

  • フィッシングサイトへのパスワード入力
  • 利用者の閲覧履歴、趣味嗜好からAIによるパスワード解析
  • キーロガー※ログインページの文字入力を記録する手法
    etc...

技術進歩により、ハッカーのクラッキング技術もアップしています。

如何にIDパスワードの記憶要素のみ認証が、ログインのセキュリティ対策としては足りないのか、お分かり頂けますよね。

他のECサイトの不正ログイン対策は?

他のECサイトといえば、よく比較されるAmazon、Yahooショッピングは何れも2要素以上の認証方式です。

大手ECサイトでいうと、楽天市場だけ単一要素の認証なんですね。

単一認証の事案「7 Pay事件」で振り返る

2019年の「7Pay事件」を用いて説明します。

IDパスワード認証のみのため、不正ログインが多発した事件です。

決済システムですので、利用者に配慮した"考えうる限りの最高強度なパスワード対策"が必要でした。

楽天のサービスも同様ですね、決済が発生するサービスです。

楽天サポートになりすまし対策を聞いてみた

なりすましログインの未然の防止策について、楽天サポートへ問い合わせてみた結果です。

  • ログインは多要素認証に対応していない
  • 不正ログイン対策は「ログインアラート」推奨
  • ログインアラート前、未然に防ぐ方法は「ありません」

他同様のサービスよりも、第三者に不正ログインされるリスクが高いと評価しています。

しかしながら、楽天サービスを使わないという結論にはなりません。ポイントもたまって便利ですので。

そこで、いざ不正ログインされたときの対処法について確認、以下まとめてみました。

楽天不正ログイン対策1:ログインアラート

ログイン確認のメールを通知する設定です。

事後ですが、不正ログインを検知できないよりはマシです。

楽天不正ログイン対策2:ログイン履歴の確認

「会員情報の追加登録」サイトから、ログイン履歴を確認できるようにしておきましょう。

楽天不正ログイン対策3:パスワード変更手順

会員情報の管理トップから、パスワードだけでなくユーザID変更もできますので、手順を覚えておきましょう。

楽天不正ログイン対策4:問い合わせ方法の確認

いざという時、何処からどのように問い合わせればいいでしょうか?

「ヘルプ・問い合わせ」サイトの下から「チャット・電話・メール」いずれかで問い合わせできますので、覚えておきましょう。

楽天不正ログイン対策5:退会手順

最終手段です。

不正ログインを止められないようであれば、退会して被害を少なくするしかありません。

退会すると、楽天ポイントも消失してしまいます。

まとめ

楽天サービスは、パスワードのみで簡単に不正ログインできてしまうセキュリティです。

そのため、楽天サービスを利用し続けるなら「不正ログインされたときの対処法」を知っておくようにしましょう。

  • この記事を書いた人

どうなの@ITのかけ算

ITの「わかりにくい」をズバり!わかりやすく。
デジタルを便利に&安全に使うノウハウ発信中🚀
中の人は、情報セキュリティ資格を有するITのプロです。

-セキュリティ
-