楽天のセキュリティは【甘い】セキュリティ10大脅威とのギャップを解説

この記事でわかること

  1. 楽天サービスのセキュリティ「甘い」実態
  2. 昨今のセキュリティ被害と照らし合わせる
  3. 傾向からの対策「パスワードを自分で入力してはいけない」

「楽天は”セキュリティが甘いっ”て聞いたけど、どうして?」

「どうやって対策すればいいの?」

IT管理プロである筆者がお答えしていきます。

楽天の「甘い」セキュリティ対策の実態

楽天が「不正アクセス対策している」と明示している内容です。

  • ログインアラート
  • カード利用お知らせメール
  • 本人認証サービス
  • 第2パスワード
  • 楽天カードアプリ指紋認証サービス(NEW!)

筆者はIT管理者を15年やっていまして、情報セキュリティ資格も持っています。

その視点で、上からツッコんでいきたいと思います。

楽天アラート通知は「事後の対応」

ログイン通知という方法は、不正アクセスを未然に防ぐ「水際対策」ではありません。

つまり、「第三者にログインされた事後」の話ですね。

しかも通知だけなので、「ご自身で対処してね」という方法です。

これを「不正アクセス対策です!」と銘打っている楽天サービス、どれだけヤバいのか?もはや説明は不要ですね。

また別途、もしログインアラートメールが届いた場合の対処法、当サイトでご紹介しています。

楽天ログインアラート通知が届いたら?5ステップの対処法

続きを見る

本人認証、第2パスワードは「リスクでしかない」

管理するパスワードが増える、つまり「付箋でメモる」「使いまわす」リスクが高まります。

どのようなリスクなのか?といえば、パスワード漏えいの実に40%以上が「付箋メモ」という時代もありました。

昨今であれば、「パスワード使いまわしが危険である」内閣サイバーセキュリティセンター(NISC)も警鐘を鳴らしています。

なにより、

使い勝手が悪いうえに、リスクを利用者に委ねることがセキュリティ対策ですか?

ちょっと考えられないですね。

楽天カードアプリ「指紋認証」機能でも足りない

ようやく楽天サービスも2要素に対応!

ただし、楽天e-NAVI登録情報を第三者から守るだけであり、ログインは可能なんですよね。

第三者が楽天e-NAVIにログインし、すっぱ抜ける情報です。

  • 「名前」「住所」といった個人情報が抜かれる
  • 楽天市場で勝手に買い物できる

情報セキュリティ10大脅威とは?傾向

IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威 2021」です。

実にランキング入りしている7割がユーザー動向を促す手口です。

コロナ過な時局を鑑みた場合、例えば、

「ワクチンの優先接種券、格安でお譲りします!!」

なんて広告打ち出す詐欺であれば、10人に1人くらいは引っかかってくれるのではないでしょうか。

そしてその1人から、個人情報として「氏名・住所・クレジットカード」を搾取します。

または、ちょっとサイトの仕組みを工夫すれば、「Googleアカウントでログイン」詐欺のログインページを準備、Googleのアカウントとパスワードを入力させ、裏で情報を引っこ抜く、なんてこともできそうですね。

その後、悪意ある第三者の行動パターンとしては、

  • クレジットカード不正利用するもよし
  • 闇サイトにあなたの個人情報を売るもよし
  • Googleアカウントでログインできる他サイトにログイン試みるもよし

闇サイト、つまり「ダークウェブ」へ流出させれば、1件20ドル(日本円で2,000円くらい)くらいの報酬をゲットできるらしいですよ(もちろん筆者はそんなことやりません)。

セキュリティ10大脅威と楽天セキュリティのギャップ

そして本記事のテーマですが、楽天の「本人認証サービス」「第2パスワード」の対策で、情報セキュリティ10大脅威を防げると思いますか?

答えが「否」というのは、明確ですよね。

なぜなら、詐欺の手口の傾向からして、

如何にして利用者本人が「本人認証」「第2のパスワード」入力させる仕組みを作るか?

このことに頭をフルに使っているからです。

いくらセキュリティ対策が盤石であっても、自ら個人情報を入力したら無意味です。

楽天セキュリティの「甘さ」どう対策する?

楽天セキュリティがあてにならないため、どのように対策するのが正解なのでしょうか?

  • 情報入力する前に「サイトの信頼性をチェックする」
  • 個人情報、パスワードは「手で入力しない」

繰り返しますが、昨今は「ユーザーに情報入力を促す手口が横行」しています。

ウイルス対策アプリで詐欺サイトを機械的に識別

まず、「いかに機械的にサイトの信頼性を判断できるか?」といえば、ウイルス対策アプリですね。

 画像元:ノートン モバイルセキュリティ

【ノートン 360 デラックス】

  • 機械的に学習し詐欺サイトを判定
  • ダークウェブ個人情報流出を検知
  • PCスマホ3台までがっちりガード

詐欺サイトに情報を入力する”まえ”に、ノートンアプリが危険なサイトであることの警告表示してくれるので、水際対策になります。

また、個人情報がダークウェブで売買されていないか?チェックする機能も備わっていますよ。

監視する個人情報

  • 運転免許証番号
  • 最大 5 件の保険証書番号 (医療保険や家財保険など)
  • 最大 5 件の住所情報
  • 最大 5 件の電子メールアドレス
  • 最大 5 件の電話番号
  • 最大 10 件の銀行口座番号
  • 最大 10 件のクレジットカード番号
  • 最大 10 件のゲーマータグ

引用:ノートン

パスワード管理アプリで信頼できるサイトの未ログイン

サイトのURLをチェック、正しければ、あなたの代わりにパスワード情報を入力してくれますよ。

特に楽天経済圏と言われている、楽天各種ログインの管理であれば「1Password」がおすすめです。

1Passwordの便利な使い方|楽天圏ログイン管理術

続きを見る

1Passwordを日本の販売店「ソースネクスト」からおトクに購入

まとめ

楽天セキュリティ「甘さ」から、如何にして自身の個人情報を守ればいいのか?でした。

詐欺サイトと知らずに入力してしまったら、「本人認証サービス」も「第2パスワード」もへったくれもありませんよね。

IT管理の経験から、情報漏えい後の収束対応の労力を熟知しているからこそ「水際対策がなにより重要である」このように考えています。

今回ご紹介のセキュリティ対策アプリ、パスワード管理アプリもぜひご検討くださいね。

楽天サービスのセキュリティ実態、別記事の情報もご参考頂ければと思います。

楽天経済圏を安心して使いたいなら5つの不正ログイン対策をすること

続きを見る

楽天ログインアラート通知が届いたら?5ステップの対処法

続きを見る

-セキュリティ
-,