楽天のログインIDに注意しましょう
ネット通販など、様々なサービスを提供している楽天ですが、そのサービスにログインする際のIDを「ヤフーメール」のメアドに設定しておくことで危険が生じる恐れがあるとのリリースを、楽天が公式に発表しました。取るべき対策を紹介します。
目次
総合セキュリティソフトの比較楽天から公式に注意喚起が行われた
まずは楽天から公式に発表された注意喚起を見てみましょう。
楽天の公式リリース
昨今、ログイン時にご入力いただく「楽天ID」に「Yahoo!メール」をご登録されたお客様が、第三者による不正アクセスの被害に遭う事例が確認されています。
「Yahoo!メール」をご登録中のお客様は、ヤフー株式会社がご案内している「Yahoo! JAPAN ID」の「パスワード無効設定」および「Yahoo!メール」の「IMAP/POP/SMTPアクセス無効設定」を行っていただくことを推奨させていただきます。
「Yahoo!メール」を名指しして、ログインIDに設定すると危険が生じる恐れがある旨の注意喚起を行っています(2019年3月)
手口はこうです
公式のリリースを読んでも内容を理解しづらい部分があるので、まずは簡単に概要を説明します。
昨今、大企業が運営しているものを含めて様々なウェブサービスから、膨大な数のIDやパスワードを含む個人情報が流出しています。
自分のメールアドレスが流出していないか調べる方法IDやパスワードを異なるサービスで「使い回し」している人は少なくありませんが、使い回しをしていた場合、どこか一箇所からパスワードが漏れることで芋づる式に不正アクセスの被害が発生することがあります。
今回の楽天の注意喚起の場合、前提条件としては以下のようなケースが想定されます。
- パスワードを使い回ししていた(ヤフーのログイン用も含めて)
- 使い回ししていたパスが流出した
ウェブのログインには、IDとして「メールアドレス」を使う場合も多いです。そのメールアドレスをヤフーメールのアドレスに設定している人は多いでしょう。
例えば「サイトA」でヤフーメールのアドレスをIDとして設定、パスワードをヤフーメールのログインに使うものと同一のものに設定していた場合、パスワードを不正に入手した犯人がヤフーメールのアカウントに自由にログインすることが出来ます。ヤフーメールのアドレスの「@」より前の文字列はそのままヤフーのログインIDとして使えるので、メアドとパスワードがあればヤフーメールへの不正アクセスが可能です。
更に、例えば楽天など他のサービスでもパスワードを使い回していた場合、そこでも自由に不正アクセスが可能になります。
どのような危険があるのか
具体的にはどのような危険があり、どのような被害が発生する可能性があるのか、分かりやすく解説します。
勝手に買い物をされてしまう
新規の「送付先」を追加すると、これまでのクレジットカード情報をそのまま利用できなくする機能があるところもあります(ヨドバシカメラなど) ですが楽天にはそうした機能がありません。
登録してあるクレジットカードを利用して、誰かが勝手に買い物をし、代金を請求されてしまう危険性があります。
ポイントを勝手に使われてしまう
楽天のポイントはマクドナルドや書店など、街なかの店舗でも利用できます。実際に、不正に入手したログイン情報を悪用し、他人の楽天ポイントを使ってドラッグストアなどで買い物をしていた外国人留学生のグループが逮捕された事件も発生しています。
逮捕容疑は2016年10月1日、男2人と共謀し、滋賀県の男性(35)のID、パスワードで楽天のサーバーにアクセスした上、不正に入手した楽天ポイントを使い、提携する東京都新宿区のドラッグストアでせき止め薬140点(販売価格7万8000円相当)をだまし取った疑い。
引用元:他人の楽天ポイントで「爆買い」=容疑で指示役の中国人逮捕−警視庁(時事通信)
個人情報を盗み見られる
実際にログインする際に使うIDとパスワードが漏れているので、あなたが楽天のアカウントで実行できる操作の「ほぼ全て」を犯人も実行することが出来ます。
例えば楽天に限らず通販サイトでは、過去に登録した商品の「送付先」の住所をアカウント情報のページから確認出来ます。犯人グループがあなたの個人情報を見ることも出来ます。
サイバー空間での犯罪行為に留まらず、例えば購入履歴から所得が高そうな人を見つけ出し、空き巣や強盗に押し入るといった犯罪が今後発生するかもしれません。
安全に使うための対策は?
安全に利用するための対策を紹介します。
パスワードの使い回しをやめる
パスワードは必ず流出するものと考え、異なるサービス間での「使い回し」を避けるべきです。
少なくとも、楽天やAmazonを始めとするネット通販サイトや、ネット銀行やネット証券といったお金に直接絡むサービスには、専用のパスワードを使うべきです。
もし現時点で使い回している場合は、既にパスワードが流出していると考え、今すぐパスワードを変更することをおすすめします。
リンク:楽天会員情報管理(パスワード再設定)
パスワードを強化してセキュリティを高めようワンタイムパスワードを設定する
例えばヤフーでは、アプリ上でその都度発行される1回限りのパスワードを使って、アカウントにログインできる「Yahoo! JAPAN ワンタイムパスワード」というサービスを用意しています。
あるいは、指定した携帯電話番号にその都度「確認コード」を送信し、そのコードを入力することでログイン出来る機能もあります。
こうした機能を使うことで、高いセキュリティを実現することが出来ます。残念ながら楽天側にはそうした機能は皆無なので、やはりパスワードの使い回しをやめることが必須です。
リンク:Yahoo!セキュリティセンター
