「楽天の”セキュリティがやばい”って聞いたけど、なぜ?」
「どうやって対策すればいいの?」
楽天カードのセキュリティ対策だけでは危険であるため、利用者側のセキュリティ対策必至な理由を、情報セキュリティ資格を有するIT管理プロが解説していきます。
この記事でわかること
- 楽天セキュリティ対策が「やばい」理由
- 昨今のセキュリティ被害と照らし合わせる
- 傾向からの対策「パスワードを自分で入力してはいけない」
楽天カードの【危険性】3つの理由
【参考】楽天が示すセキュリティ対策
- ログインアラート
- カード利用お知らせメール
- 本人認証サービス
- 第2パスワード
- 楽天カードアプリ指紋認証サービス
情報セキュリティ観点から、楽天セキュリティの危険性「主に3つ」ありますので、以下順に説明していきます。
楽天ログインアラートは「水際対策でない」
ログイン通知は、不正アクセスを未然に防ぐ「水際対策」ではありません。
つまり、「第三者にログインされた後の祭り」状態です。
しかも通知のみで、対処する・しないをユーザーへ「丸投げして、終わり」です。
不正アクセスを水際で防ぐ努力をせず「不正アクセス対策です!」明示するあたり、楽天サービスを利用するリスクはご理解いただけるのではないでしょうか。
【関連】もし楽天から「ログインアラート」が届いたら…
-
楽天から「ログインしましたか?」メールが届いたら?安全性チェック5つのステップ
続きを見る
本人認証、第2パスワード「パスワードを増やすリスク」
管理するパスワードが増える、つまり「付箋でメモる」「使いまわす」助長するリスクですね。
まず、パスワードが漏れる事案の40%以上が「付箋メモ」です。
次に、パスワード覚えきれないので「同じパスワードを使いまわす」が発生します。
このように、「使い勝手が悪い」さらに「漏えいリスクを利用ユーザーへ委ねる」状況でも「わが社のセキュリティ方針です」銘打つ企業に、自身の決済情報を預けるリスクは知っておいた方がよいでしょう。
楽天カードアプリ「指紋認証」でもログインは守れない
ようやく楽天サービスも2要素に対応!
と思いきや、楽天e-NAVI登録情報を第三者から守るだけであり、ログインは可能でした。
つまり、第三者が楽天e-NAVIに不正ログインすることは可能です。
この場合のリスク、2つ例をあげます。
- 名前や住所など個人情報を盗まれる
- 楽天市場で勝手に買い物できる
クレジットカードの情報を守るだけでは、カードを不正利用されるリスクどころか、楽天サービス圏の不正アクセスを俯瞰(ふかん)して守れるわけではありません。
楽天カードのセキュリティ対策とIPAセキュリティ10大脅威のギャップ
IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威 2022」です。
| 順位 | 個人 | 昨年順位 |
| 1位 | フィッシングによる個人情報等の詐取 | 2位 |
| 2位 | ネット上の誹謗・中傷・デマ | 3位 |
| 3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | 4位 |
| 4位 | クレジットカード情報の不正利用 | 5位 |
| 5位 | スマホ決済の不正利用 | 1位 |
| 6位 | 偽警告によるインターネット詐欺 | 8位 |
| 7位 | 不正アプリによるスマートフォン利用者への被害 | 9位 |
| 8位 | インターネット上のサービスからの個人情報の窃取 | 7位 |
| 9位 | インターネットバンキングの不正利用 | 6位 |
| 10位 | インターネット上のサービスへの不正ログイン | 10位 |
実に9割の脅威が、「利用者本人へ何かしらの入力操作を促し、裏で情報を盗みとる」このような傾向です。
IPAでも「本人認証サービス(3D セキュア等)の利用が被害の予防として効果的である」見解のようですが、だまして盗みとられる性質からして、盤石ではありません。
つまり、楽天の銘打つ「本人認証サービス」および「第2パスワード」対策では10大脅威は防げないことを示します。
いくらシステムが外部からのサイバー攻撃に堅牢であったとしても、ユーザー本人が漏らしてしまったパスワードを使用した、第三者ログインまでは防げませんね。
昨今の情報セキュリティは、ユーザー本人が詐欺被害にあわないログインの仕組みを「考慮すべき事項」と定めています。
楽天カードの危険性を補う2つの対策
- 偽サイトをシステム的にチェックする
- カード情報「システムがチェックして入力」
以下順に説明していきます。
偽サイトをシステム的にチェックする
システム的に偽サイト、つまり「フィッシングサイト」を未然に察知して、カード情報の入力をふせぐ方法です。
ポチップ- セーフウェブ機能
- 危険サイトをブロック
- フィッシングを「メール」から対策
- 個人情報の流出監視と通知
アクセスする前から、Webサイトを分析して安全性のチェックしてくれます。
カード情報やパスワードは「システムがチェックして入力」する
サイトのURLをチェック、正しければ、あなたの代わりにカード情報やパスワードを入力する対策です。
特に”楽天経済圏”と言われている、楽天サービス各種のログインを管理するのであれば、「1Password」がおすすめですね。
-
1Passwordの便利な使い方|1つのパスワードに複数アドレスを登録が便利!楽天ログインを例に解説
続きを見る
なぜなら、「アプリがサイトの信頼性をチェックしたのち、自動的にパスワードを入力してくれる」また、「ログインパスワード以外、第2パスワードの情報も管理できる」この2点が挙げられます。
\さらに6月30日(木)まで割引中/
パスワード以外でログイン!安全なクレジットカードおすすめ
ログインが安全なクレジットカード
- PayPayカード
PayPayカードは、Yahoo IDとログインが連動しています。
そしてYahoo IDは、「パスワード以外のログイン、スマホアプリに通知してログイン」このようなログイン方法を起用しています。
つまり、第三者がパスワードを知ったところで、クレジットカードの情報サイトにログインすることはできません。
なにより、パスワードを覚えない・忘れてOK!使い勝手が考慮された、安心・安全なシステム設計ですね。
まとめ
楽天カードのセキュリティ対策が「ヤバい実態」から、利用者側がどう対策すればいいのか?解説してきました。
- 不正アクセス未然防止「対策なし」に等しい
- 利用者側としても不正利用されないための対策必至
楽天カードを使うなら、「フィッシング対策」および「自分でカード情報を入力しない」対策は必要でしょう。
なにより大事なのは、「未然に防ぐ”水際(みずぎわ)の対策”が重要である」ことです。
▼ 楽天サービスのセキュリティ関連記事
-
楽天サービスを安全に使うなら5つの不正ログイン対策が必要
続きを見る
-
楽天から「ログインしましたか?」メールが届いたら?安全性チェック5つのステップ
続きを見る
