ECサイトでのID/パスワード管理について

  • Pocket
  • LINEで送る

ブラウザの自動入力機能やセキュリティソフトに付帯するパスワード管理機能を利用しているひとも多いようですが、悪意のある組織や人からすると、この機能はどう写るか考えてみましょう。
ポイントを換金できるECモール、飛行機のマイルを使っての換金。IDとパスワードはまさに宝の山で、パスワード管理機能を破ることは「宝箱を開ける」に等しい行為です。このような機能を提供するベンダーは、セキュリティを強固なものにし、金庫のように作っていますが、悪意のある者からすれば、高いハードルほど破り甲斐のある楽しみなのだそうです。

また無償で配布されているパスワード管理ソフトは、逆にパスワードを盗むために提供されていることはないかと疑う心も持ちましょう。有名な個人や会社であっても、無償であることには必ず裏があります。美味しい話にはかならず訳があるのです。
avoid-getting-hacked-640x356

こうした便利な機能は極力使わないことが、一番の防衛策になります。その場合、いつも同じID(ほぼ電子メールID)とパスワードを使いまわしてしまうと、実は最も危険なことになります。日本で有名なECサイトオープンソースは、標準設定ではデータベースを暗号化せずに顧客のIDとパスワードを保存していますし、運用者もセキュリティの知識に乏しいことがほとんどです。こうしたECサイトで会員登録をした場合は、このIDとパスワードは確実に数年以内に情報が漏えいすると考えて差し支えないでしょう。

小さなECサイトに限らず、大きなECサイトもセキュリティを高めてもたくさんの顧客情報が獲得できるため、悪意のある者はサイトの規模に関係なく訪れることを利用者は知っておく必要があります。

ID/パスワードを使いまわしせず、各サイト毎に異なるIDパスワードを使うことが必要ですが、記帳もせずに覚えきれないと考える人も少なくないのではないでしょうか。実は昔から活用されている手法ですが、以下のような方法があります。

例えば、ECサイト「ABCD Store」という名称であれば、普段共通して利用している「パスワード(nikoniko+)」に店名の「ABCD」という文字を追加するのはどうでしょう。合体すると「nikoniko+ABCD」となります。自分でルールを作っておけば、忘れてしまうことも少ないと思います。パスワードには、英字の大文字と小文字、そして「/*-+!#$%&@」の記号を併用することがとても重要です。

この方法は、IDとパスワードだけでなく、教えた覚えのないダイレクトメールの情報漏えい元を調べる方法にも活用できます。住所が「東京都港区西新橋1-6-102」であった場は、そのECサイトやアンケート元の名称を先ほどの方法を応用して「東京都港区西新橋1-6-102ABCD」と住所の後に付与します。

最近、データはデジタル処理されているため、一人一人の住所を細かく精査することなく、そのままEXCELやCSVなどの形式で流通します。このような方法で、不正ログインによる情報流出を防止しつつ、流出した場合に情報漏えい元を特定し、運営者や消費者庁、警察などの関係機関へ通報しやすくなります。

  • Pocket
  • LINEで送る