「楽天の”セキュリティがやばい”って聞いたけど、なぜ?」
「どうやって対策すればいいの?」
楽天カードをインターネット上、オンラインで扱う場面で“かなりリスクが高い”といえます。
- 楽天カードにどのようなリスクがあるのか?
- 楽天カードの使い方で気をつけるポイントは?
情報セキュリティ資格を有するIT管理プロが解説していきます。
この記事でわかること
- 楽天セキュリティがヤバい3つの理由
- 昨今のセキュリティ脅威とのギャップ
- 楽天カードを安全に使うための対策
楽天カードが危険な3つの理由
楽天カードが示すセキュリティ対策です。
- ログインアラート
- カード利用お知らせメール
- 本人認証サービス
- 第2パスワード
- 楽天カードアプリ指紋認証サービス
このセキュリティ対策に関して、主に3つ指摘事項がありますので、以下順に説明していきます。
1. ログインアラートは「水際対策でない」
ログイン通知は、「第三者にログインされた後の祭り」状態です。
不正アクセスを未然に防ぐ「水際対策」ではありません。
しかもメール通知のみ、何か対処してくれるわけではありません。
「もし楽天アラートのメールが届いたら」について、別記事が参考になります。
2. 本人認証、第2パスワード「パスワードを増やすリスク」
管理するパスワードが増える、つまり「付箋やノートにメモをする」または「パスワードを使いまわす」ことによるリスクが高くなります。
パスワードの漏えいの約40%「紙から漏れる」
日本ネットワークセキュリティ協会(JNSA)調べ、個人情報が盗まれるランキング1位は「付箋やメモなど紙媒体」からであり、全体の30%程となっています。
付箋やメモにパスワードを記載し、PC画面に貼っている、またはスマホカバーに潜ませている方は特に注意しましょう。
同じパスワードの使いまわしは危険
パスワードを覚えきれないので「同じパスワードを使いまわす」リスクです。
例えば、パスワードクラックやフィッシングにより第三者にパスワードが盗まれた場合、楽天以外のサービスにもログインされてしまいます。
3. 楽天カードアプリ「指紋認証」でも不正ログインは守れない
ようやく楽天サービスも2要素に対応!
と思いきや、ブラウザーからの楽天e-NAVIログインする際は、パスワードのみ単一認証です。
つまり、第三者の不正ログイン防止とはならない対策です。
この場合のリスク、2つ例をあげます。
- 名前や住所など個人情報を盗まれる
- 楽天市場で勝手に買い物できる
クレジットカードの情報を守るだけでは、カードを不正利用されるリスクどころか、楽天サービス圏の第三者ログインを網羅するセキュリティ対策ではありません。
楽天セキュリティと10大脅威のヤバいギャップ
IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威 2022」です。
| 順位 | 個人 | 昨年順位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位 |
| 2位 | ネット上の誹謗・中傷・デマ | 3位 |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 4位 |
| 4位 | クレジットカード情報の不正利用 | 5位 |
| 5位 | スマホ決済の不正利用 | 1位 |
| 6位 | 偽警告によるインターネット詐欺 | 8位 |
| 7位 | 不正アプリによるスマートフォン利用者への被害 | 9位 |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 7位 |
| 9位 | インターネットバンキングの不正利用 | 6位 |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 |
9割の脅威が、「利用者本人へ何かしらの入力操作を促し、裏で情報を盗みとる」このような傾向です。
IPAでも「本人認証サービス(3D セキュア等)の利用が被害の予防として効果的である」見解のようですが、だまして盗みとられる性質からして、盤石ではありません。
つまり、楽天の銘打つ「本人認証サービス」および「第2パスワード」対策では10大脅威は防げません。
いくら楽天のシステムが外からの不正侵入されない仕組みだとしても、パスワードのみ単一要素認証では、利用者の不正ログインは守ってくれません。
なお昨今の情報セキュリティガイドラインでは、利用者が被害にあわないためのログイン認証の仕組みも「サービス側が考慮し対策すべき重要な事項」として定めています。
楽天カードの不正ログイン|利用者側で対策すること
ここまでのおさらいです。
- 楽天サービスは不正ログインの水際対策が不足している
- 管理パスワードが増える→情報漏えいリスクも増える
- 昨今のセキュリティ被害「本人にパスワードを入力させ盗み出す」傾向
楽天が水際対策してくれないなら、利用者側で不正ログイン対策をするしかありません。
具体的には、次のような対策が必要です。
- 複雑で長いパスワードを設定する
- 同じパスワードを使い回さない
- 第2、3Dセキュアといった複数パスワード管理が必要
- サイトが正しいことをチェックしてからパスワード入力する仕組み
この条件を満たすのは、ズバり「パスワード管理ツールを使うこと」であり、今どきのスマホに内蔵されているパスワード管理機能で十分ですね。
ただ、スマホに備わっているパスワード管理機能は、楽天の「第2パスワード」また「本人認証サービス(3Dセキュア」のパスワードは管理できません。
楽天サービス各種のログインを管理するのであれば、「1Password」がおすすめですね。
「第2パスワード、3D本人認証といった複数パスワードが管理できる」
「サイトの信頼性をシステム的にチェックしたのちパスワードを入力してくれる」
これらすべてを実現してくれます。
まとめ
楽天カードの危険性、知っておくべきセキュリティ対策の実態でした。
- 不正ログインを未然に防ぐ対策なし
- 利用者で不正ログインリスクを低減する策を講じるしかない
楽天カードを使うなら、「フィッシング対策」や「カード情報をシステム的にチェックして入力する」対策は必要でしょう。
例え身内・家族であっても、楽天のログインIDとパスワードは不用意に教えないようにしましょう。
