メジャーなECサイトにはいまだに2段階認証がないものもあります。2段階認証があれば安心というものではないですが、不正ログイン突破策としてはある程度効果があるのは間違いありません。それなのに相変わらずユーザー・パスワードだけでログインできるサイトは大手を降って存在しています。こういうサイトは使わないのが一番ですが、そうもいかないので最低限の対策をしましょう。
2段階認証のないメジャーECサイトの対策
筆者と縁がある(縁があった)サイトの中では楽天市場、ヨドバシ.com、ビックカメラ.com、UNIQLOです。本来なら使わないのが一番ですが、なかなかそうは行かないので以下のような注意事項を守るようにしましょう。
共通しているのは絶対にクレジットカード番号の登録はしないこと、自動登録される場合は利用後に直ちに削除することです。
楽天市場
2段階認証はありませんが、ログイン通知はあります。
以下の情報を必ず設定します。
[トップページ] > [会員情報] > [会員情報の登録・確認・変更] > [アカウントとセキュリティ]
・ユーザIDはデフォルトではメールアドレスと同一ですが、他のサイトでは使っていない文字列をユーザIDとして登録します。メールアドレスをユーザIDとして使ってはいけません。
・パスワードは上限が16桁ですので、16桁以内で英大文字・英小文字・記号を各1文字以上入れた他のサイトでは使っていない文字列を使います。パスワード管理ソフトを使いましょう。1PasswordやEnpassといったパスワード管理アプリを使うのは必須です。
・「秘密の質問と答えを登録する」を登録します。秘密の質問はできるだけ他人には話したことが無いもので公的な情報を調べてもわからないものを選びます。父親や母親の旧姓なんてのは比較的簡単に調べがつきます。「子供の頃良く行った場所」というのは良いかもしれませんが、下手すれば自分も思い出せない可能性もありますのでご注意を。
[トップページ] > [会員情報] > [会員情報の登録・確認・変更] > [お支払い方法]
・お支払い方法にクレジットカードを登録している場合は削除し、絶対に既定のクレジットカードは登録してはいけません。面倒でもお買い物の都度入力しましょう。
ヨドバシ.com
2段階認証はありませんしログイン通知もありません。ログインセキュリティに関しては非常に甘いサイトなので注意が必要です。ログインIDはメールアドレスと一緒で変更できませんので、この意味でも脆弱でこのままのセキュリティではヤヴァいサイトです。
以下の情報を必ず設定します。
[トップページ] > (自分の姓名) > [お客様情報の確認・変更] >「 XXXX様のご登録情報一覧」
・「いつも使うお支払い方法」は「指定しない」で登録します。
・「クレジットカード情報」は削除し、絶対に既定のクレジットカードは登録してはいけません。面倒でもお買い物の都度入力しましょう。
[トップページ] > (自分の姓名) > [会員ページ] > 「XXXX様の会員ページ」
・「パスワードを変更する」または「パスワードを再設定する」でパスワードを変更または再設定します。パスワードは上限が16桁ですので、16桁以内で英大文字・英小文字・記号を各1文字以上入れた他のサイトでは使っていない文字列を使います。パスワード管理ソフトを使いましょう。1PasswordやEnpassといったパスワード管理アプリを使うのは必須です。
ビックカメラ.com
2段階認証はありませんがログイン通知だけはあります。ログインセキュリティに関しては非常に甘いサイトなので注意が必要です。ログインIDはメールアドレスと一緒で変更できませんので、この意味でも脆弱でこのままのセキュリティではヤヴァいサイトです。
以下の情報を必ず設定します。
[トップページ] > (自分の名) > 「会員メニュー」
・「アカウントサービス」の枠の中にある「クレジットカード情報の削除」で既存のクレジットカード情報を必ず削除します。
・「会員情報」をクリックしてパスワードを変更します。パスワードは上限が100桁ですので、100桁以内で英大文字・英小文字・記号を各1文字以上入れた他のサイトでは使っていない文字列を使います。現実にはパスワード管理ソフトを使って生成・管理し30桁くらいが良いでしょう。1PasswordやEnpassといったパス
ワード管理アプリを使うのは必須です。
UNIQLO(ユニクロ)
2段階認証はありませんしログイン通知もありません。ログインセキュリティに関しては非常に甘いサイトなので注意が必要です。ログインIDはメールアドレスと一緒で変更できませんので、この意味でも脆弱でこのままのセキュリティではヤヴァいサイトです。
以下の情報を必ず設定します。
[トップページ]の一番下 > [会員情報] > [クレジットカード]
・「クレジットカード情報」は削除し、絶対に既定のクレジットカードは登録してはいけません。面倒でもお買い物の都度入力しましょう。
[トップページ]の一番下 > [会員情報] > [パスワードの変更]
・「パスワードを変更する」または「パスワードを再設定する」でパスワードを変更または再設定します。パスワードは上限が20桁ですので、20桁以内で英大文字・英小文字・記号を各1文字以上入れた他のサイトでは使っていない文字列を使います。パスワード管理ソフトを使いましょう。1PasswordやEnpassといったパスワード管理アプリを使うのは必須です。
2段階認証突破詐欺に注意
2段階認証といえども万全ではありません。
世の中に完璧なセキュリティ対策はたとえ軍のシステムでも存在しません。
セキュリティで一番脆弱なのは実は人間(ユーザー)そのものです。それを攻撃するのがフィッシングメールといった一種のソーシャルエンジニアリング。
一番注意しなくてはならないのはフィッシングメールでの偽サイトへの誘導です。
[1] フィッシングメールで本物と瓜二つの偽サイトにユーザー・パスワードでログインさせ、その情報を使って悪い奴らが背後で本物のサイトにログインする。これは手でやるわけではなく全て自動的かつ瞬時に行われる。
[2] 正規サイトからはユーザーを装った悪いやつに2段階認証の認証コードを求める。
[3] そっくりに作られた偽サイトを偽とは気づかずに、本物のユーザーは2段階認証の認証コードを偽サイトに入力してしまう。
[4] 悪い奴らは本物のサイトに2段階認証の認証コードを入力してログインする。
[5] 悪い奴らはこれで本物のユーザーである貴方のアカウントを乗っ取ることが可能になります。
この方法に対する対策:
・いかなる場合でもメールのURLは絶対クリックしない。
・ん?と思ったら自分のブラウザのブックマークやURL手入力でアクセスする。
こうして乗っ取られてしまいパスワードも変更されたりすると、正しいユーザーはログインできなくなります。ECサイトのパスワード変更のプロセスによりますが、変更に際して他の要素が無い限りやばいです。パスワード変更に際しては変更用ワンタイムURLがメールで送付されてくるのでそこからしか変更できないような仕組みだと安心するかもしれませんが、乗っ取って次にすべきことはメールアドレスや携帯番号の変更です。パスワード変更に関しての全てのメールやSMSまでも乗っ取るわけです。
このようにして乗っ取られた場合は本物のユーザーには手も足もでませんので、ただちにECサイト運営者に連絡してアカウントを停止してもらいましょう。
心当たりのないSMSやメール内のURLは絶対にクリックしないこと、これが鉄則です。乗っ取られたらフィッシングにかかった貴方が悪い!
ちなみにAmazonを名乗る詐欺メールは多いですが、Amazonからの全てのメールは、[アカウントサービス]>[Eメールとメッセージ]>[メッセージセンター]で確認できますので、必ずこの中を確認しましょう。アカウントに関することでなくても単なるプロモーションメール、配達通知も全て保管されています。
アプリ認証が一番良さそう
SMSやメールによる2段階認証は危ないのは間違いありません。もちろん無いよりは遥かにましですが。
比較的安全度が高いのはMicrosoftやdocomoが使っているアプリ認証です。
ログインの2要素目として2桁の数字を表示し、あらかじめスマホにインストールした専用アプリには正しい数字を含む3種類の数字ペアが表示されるので、ただしい数字をタップするとログインできるというものです。
これは2段階認証突破詐欺の方法では悪い奴らは突破できません。
ログインの2要素目として専用アプリにログイン承認通知が届きログインを認めるか否かを選ばせるものもあります(Adobeなど)。これも悪い奴らが勝手に自分のアカウントで認証リクエストを飛ばすことは普通はできないので信頼はできます。
いずれの場合もSMSやメールによる認証コードによる2段階認証よりは信用できます。