セキュリティ

楽天のセキュリティは「甘い」IPAセキュリティ10大脅威と照らし合わせた対策

2021年9月6日

この記事でわかること

  1. 楽天サービスのセキュリティ「甘い」実態
  2. 昨今のセキュリティ被害と照らし合わせる
  3. 傾向からの対策「パスワードを自分で入力してはいけない」

「楽天は”セキュリティが甘いっ”て聞いたけど、どうして?」

「どうやって対策すればいいの?」

IT管理プロである筆者がお答えしていきます。

楽天の「甘い」セキュリティ対策の実態

楽天が「不正アクセス対策している」と明示している内容です。

  • ログインアラート
  • カード利用お知らせメール
  • 本人認証サービス
  • 第2パスワード
  • 楽天カードアプリ指紋認証サービス(NEW!)

筆者はIT管理者を15年やっていまして、情報セキュリティ資格も持っています。

その視点で、上からツッコんでいきたいと思います。

楽天アラート通知は「事後の対応」

上記1、2の通知ですが、「水際対策」ではありません。

つまり、「第三者にログインされた事後」の話ですね。

しかも通知だけ、「気づいたら自分で対処してね」です。

これを「不正アクセス対策です」と銘打っている楽天さん、だいぶヤバいですね。

また別途、もしログインアラートメールが届いた場合の対処法、当サイトでご紹介しています。

楽天ログインアラート通知が届いたら?5ステップの対処法

続きを見る

本人認証、第2パスワード「パスワード使いまわしリスク」しかない

パスワードが増えると、どうなるかというと「付箋でメモる」「使いまわす」いずれかです。

パスワード漏えいの40%が「付箋メモ」からという時代もありましたが、昨今は「パスワード使いまわし」が危険であると、内閣サイバーセキュリティセンター(NISC)も警鐘を鳴らしています。

なにより、使い勝手がわるくなる上にリスクを相手に委ねることがセキュリティ対策?ちょっと考えられないですね。

別途、本人確認のために「個人情報を入力させるリスク」後述します。

楽天カードアプリ指紋認証サービスは「惜しい」

ようやく楽天サービスも2要素に対応!

ただし、楽天e-NAVI登録情報を第三者から守るだけであり、ログインは可能なんですよ。

第三者が楽天e-NAVIにログインし、すっぱ抜ける情報です。

  • 「名前」「住所」といった個人情報が抜かれる
  • 楽天市場で勝手に買い物できる

情報セキュリティ10大脅威 2021|傾向と分析

IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威 2021」です。

実にランキング入りしている7割がユーザー動向を促す手口です。

コロナ過な時局を鑑みた場合、例えば、

「ワクチンの優先接種券、格安でお譲りします!!」

なんて広告打ち出す詐欺であれば、10人に1人くらいは引っかかってくれるのではないでしょうか。

そしてその1人から、個人情報として「氏名・住所・クレジットカード」を搾取します。

または、ちょっとサイトのつくりを工夫すれば、「Googleアカウントでログイン」詐欺のログインページを準備、Googleのアカウントとパスワードを入力させ、裏で情報引っこ抜くこともできそうですね。

その後、悪意ある第三者の行動パターンとしては、

  • クレジットカード不正利用するもよし
  • 闇サイトにあなたの個人情報を売るもよし
  • Googleアカウントでログインできる他サイトにログイン試みるもよし

闇サイト、つまり「ダークウェブ」に流しこめば、1件20ドル(日本円で2,000円くらい)くらいの報酬をゲットできるらしいですよ(もちろん筆者はそんなことやりません)。

「情報セキュリティ10大脅威」と楽天セキュリティを照らし合わせる

そして本題です。

楽天の「本人認証サービス」「第2パスワード」この対策で、情報セキュリティ10大脅威を防げると思いますか?

答えは「否」です。明確ですよね。

なぜなら、詐欺の手口の傾向からして、

「如何にユーザーに”本人認証”また”第2パスワード”を入力させようか?」

このことに頭をフルに使っているからです。

いくら「本人しか知らない情報」だったとしても、だまされていることを知らずに”自ら情報リリース”したら、無意味です。

どのようにして楽天セキュリティの「甘さ」から守ればいいか?

楽天セキュリティがあてにならないため、どのように対策するのが正解なのか?

  • 情報入力する前に「サイトの信頼性をチェックする」
  • 個人情報、パスワードは「手で入力しない」

繰り返しますが、昨今は「ユーザーに情報入力を促す手口が横行」しています。

詐欺サイトを機械的に判断するサービス

まず、「いかに機械的にサイトの信頼性を判断できるか?」といえば、ウイルス対策アプリですね。

 画像元:ノートン モバイルセキュリティ

【ノートン 360 デラックス】

  • 機械的に学習し詐欺サイトを判定
  • ダークウェブ個人情報流出を検知
  • PCスマホ3台までがっちりガード

詐欺サイトに情報を入力する”まえ”に、ノートンアプリが危険なサイトであることの警告表示してくれるので、水際対策になるんですね。

また、個人情報がダークウェブで売買されていないか?チェックする機能も備わっていますよ。

監視する個人情報

  • 運転免許証番号
  • 最大 5 件の保険証書番号 (医療保険や家財保険など)
  • 最大 5 件の住所情報
  • 最大 5 件の電子メールアドレス
  • 最大 5 件の電話番号
  • 最大 10 件の銀行口座番号
  • 最大 10 件のクレジットカード番号
  • 最大 10 件のゲーマータグ

引用:ノートン

サイト信頼のち、ログイン情報を入力してくれるサービス

パスワード管理アプリです。

サイトのURLをチェック、正しければ、あなたの代わりにパスワード情報を入力してくれますよ。

特に楽天経済圏と言われている、楽天各種ログインの管理であれば「1Password」がおすすめです。

【動画デモあり】楽天経済圏のログイン管理「1Password」が最適解な3つの理由

続きを見る

1Passwordを日本の販売店「ソースネクスト」からおトクに購入

まとめ

楽天セキュリティ「甘さ」から、如何にして自身の個人情報を守ればいいのか?でした。

詐欺サイトと知らずに入力してしまったら、「本人認証サービス」も「第2パスワード」もへったくれもありませんよね。

IT管理の経験から、情報漏えい後の収束対応の労力を熟知しているからこそ「水際対策がなにより重要である」このように考えています。

今回ご紹介のセキュリティ対策アプリ、パスワード管理アプリもぜひご検討くださいね。

楽天サービスのセキュリティ実態、別記事の情報もご参考頂ければと思います。

楽天経済圏を安心して使いたいなら5つの不正ログイン対策をすること

続きを見る

楽天ログインアラート通知が届いたら?5ステップの対処法

続きを見る

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-セキュリティ
-,