ICT セキュリティ

楽天経済圏を安心して使いたいなら5つの不正ログイン対策をすること

2020年11月19日

楽天サイトは、
"パスワード認証"
でログインできます。

そのため、昨今のセキュリティ事情から
「非常に脆弱である」と言わざるを得ません。

なぜ"記憶要素のみの認証"が脆弱なのか?

その理由と、いざというときの備え、
おさえておくべき5つの不正ログイン対策
について以下説明していきます。

楽天サイトのログイン方法は?

楽天って、IDパスワード入力するとログインできちゃうんですよね
どうなの

??なに当たり前のこと言ってるの?(笑)

ひと昔前なら”当たり前のこと”言わないでしょう。

でも今は、なりすましログイン対策として、
多要素なログイン認証が当たり前の時代です。

認証の要素について

認証の要素って、ご存知でしょうか?一覧にしてみました。

認証の要素要素の説明要素の例
記憶要素本人だけが知っている
(であろう)情報
・パスワード
・秘密の質問
・出身地は?
・ペットの名前は?
所持要素所持デバイス
所持アカウント
・SMS、メール通知し認証
・認証アプリを使用した認証
・電子証明書
生体認証本人の生体情報・指紋認証
・顔認証
・静脈認証
・網膜認証

上記一覧の要素を2つ用いると「2要素認証」、2つ以上であれば「多要素認証」といいます。

なぜ楽天サイトのログインが脆弱なのか?

楽天市場のログインは「記憶要素のみ」でログインできてしまいますね。

つまりは、適当なIDパスワードを入力してログインできてしまう可能性もあるんです。

複雑・文字列が長いパスワード設定していれば安全だと思っていませんか?

昨今のハッカーは、不正ログイン試行("クラッキング"といいます)に、次の手法を用います。

  • フィッシングサイトへのパスワード入力
  • 利用者の閲覧履歴、趣味嗜好からAIによるパスワード解析
  • キーロガー※ログインページの文字入力を記録する手法
    etc...

技術進歩により、ハッカーのクラッキング技術もアップしています。

如何にIDパスワードの記憶要素のみ認証が、ログインのセキュリティ対策として心許ないか、おわかり頂けるのではないでしょうか。

他のECサイトの不正ログイン対策は?

他のECサイトはどうでしょうか?

よく比較されるAmazon、Yahooショッピングは何れも2要素以上の認証方式です。

大手ECサイトでいうと、楽天市場だけ単一要素の認証なんですね。

単一認証の事案「7 Pay事件」で振り返る

2019年の「7Pay事件」を用いて説明します。

IDパスワード認証のみのため、不正ログインが多発した事件です。

決済システムですので、利用者に配慮した"考えうる限りの最高強度なパスワード対策"が必要でした。

楽天のサービスも同様ですね、決済が発生するサービスです。

楽天サポートになりすまし対策を聞いてみた

なりすましログインの未然の防止策について、楽天サポートへ問い合わせてみました。

不正ログインの対策したいんですけど、多要素認証って設定できます?
どうなの

多要素には対応しておりません。不正ログイン対策なら『ログインアラート』があります[/st-kaiwa]

ログインアラートは「事後の対策」ですよね。未然に防ぐ対策ってあります?
どうなの

・・・未然の不正ログイン対策は、ありません[/st-kaiwa]

口座連携すべて解除しようかと思案しましたが、楽天サービスを使わないという結論にはなりませんよね。

ポイントもたまって便利ですので。

そこで、有事の対応について確認してみました。

楽天不正ログイン対策1:ログインアラート

ログイン確認のメールを通知する設定です。

事後ですが、不正ログインを検知できないよりはマシです。

楽天不正ログイン対策2:ログイン履歴の確認

「会員情報の追加登録」サイトから、ログイン履歴を確認できるようにしておきましょう。

楽天不正ログイン対策3:パスワード変更手順

会員情報の管理トップから変更できますので、手順を覚えておきましょう。

ユーザIDが変更できることも覚えておきましょう。

楽天不正ログイン対策4:問い合わせ方法の確認

いざという時、何処からどのように問い合わせればいいでしょうか?

「ヘルプ・問い合わせ」サイトの下から「チャット・電話・メール」いずれかで問い合わせできますので、覚えておきましょう。

楽天不正ログイン対策5:退会手順

最終手段です。

不正ログインを止められないようであれば、退会して被害を少なくするしかありません。

退会すると、楽天ポイントも消失してしまいます。

まとめ

楽天サイトは未然の不正ログイン対策はできません。

備えあればうれいなし、普段から自身で不正ログイン対策するほかありません。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-ICT, セキュリティ
-