楽天のアカウントに2段階認証がないのはなぜか?

筆者は最近フィッシング詐欺に引っかかりそうになったので手当たり次第アカウントに二段階認証を設定している。楽天もよく使うサービスなので設定しようとしらメニューに二段階認証がない。問い合わせたところ実装されておらず導入時期も未定とのこと。IDとパスワードだけでは不安だったので他に何か対策は無いか探していたところ「ログインアラート」を発見。これはメールでログインしたことをお知らせする機能。情報が流出し知らない端末でログインされた場合にアカウント乗っ取りに早く気付くことができる。根本的な解決にはなっていないが無いよりマシ。若干メールがうっとうしいが楽天利用ユーザーは必ず設定しておこう。

注意事項

仕様などは2020年11月に確認したもので最新の情報と異なる可能性があります。ご了承ください。

注意事項

ログインアラートの設定はアカウント乗っ取り防止を保証するものではありません。

二段階認証とは

悪いことは言わないので多少面倒でもメインて利用しているサービスには必ず二段階認証を設定した方がよい。

IDとパスワードが流出した場合

フィッシング詐欺などでIDとパスワードが流出した場合自身のアカウントが乗っ取られる等の被害が発生する。筆者のところにもフィッシング詐欺メールがよく届く。しかも慌てて何度か開いてしまっている。「アカウント停止なので確認してください。」と言われるとアフィリエイトの規約違反でもしたのかと思い騙されそうになってしまう。さらに公式サイトと見分けがつかないページに飛ばされるので、いつかやらかしそうな気がしている。

流出の原因
  • フィッシング詐欺
  • 公衆Wi-Fiでの盗聴
  • コンピュータウイルス

スマホが無いとログインできない

ログイン時にSMS認証を設定しておくと認証に使った携帯端末がないとログインできなくなる。仕組みとしてはログイン時に登録した電話番号にSMS(ショートメッセージサービス)でワンタイムパスワード(有効期限のあるパスワード)が届くのでそれを入力してログインする。なのでIDやパスワードが流出したとしても登録した携帯端末がないとログインできない。アカウントを乗っ取るには携帯端末を物理的に盗み端末のパスワードを突破する必要があり不正利用される可能性が低くなる。SMSを使ったワンタイムパスワードはアカウントの二段階目の認証として使われることがある。

認証端末を紛失すると復旧が困難になる場合もあるが通常はバックアップコードを生成できるため問題ない。IDとパスワードだけではフィッシング詐欺メールやブルートフォースアタック(総当たり攻撃)を受けたときに耐えられそうな気がしない。筆者はメインで使用しているメインアカウントすべてに二段階認証を設定している。

他サービスの実装状況

筆者が主に使っているサービスの二段階認証実装状況をまとめた。ただし、インスタグラムとツイッターはほとんど運用していない。

サービス 二段階認証
Google
Amazon
ツイッター
インスタグラム
ヤフー
楽天 ×

Google

SMSやスマホ端末を使ったログインが可能。バックアップコードもあり端末紛失時も問題なし。Googleの二段階認証はスマホに届くメッセージをタップするだけなので使いやすく便利。

Googleアカウント2段階認証プロセス設定手順~今すぐ設定したいアカウント乗っ取りを防止する有効な手段~

Amazon

二段目はSMS認証。バックアップには端末が2台必要になる。バックアップコードの生成がないので端末紛失には十分注意したい。

Amazonアカウント2段階認証設定手順~今すぐ設定してほしいアカウント乗っ取り対策~

ツイッター

二段目はSMS認証。バックアップコードでの復旧が可能。バックアップコードは永続利用可能なので紛失した場合は再発行する。

【PC版】ツイッター2要素認証設定手順~SMSを使った2段階認証でアカウント乗っ取りを防ぐ~

インスタグラム

筆者はほとんど使っていないのだがログインしてセキュリティ項目を確認したらSMSを使った二段階認証があった。

ヤフー

ヤフーは一段階目にSMS、登録メール、パスワードを利用可能。二段目にメール、SMSを設定することもできる。端末が盗まれない限り大丈夫だと思うので筆者は一段目にSMSを設定しているだけ。認証のシーケンスがちょっとわかりづらい。

楽天

会員メニューのどこを探しても見つからないので問い合わせた。結果、楽天では二段階認証の仕組みは無いとのこと。楽天は利用頻度の高いシステムなので正直つらい。最低でもログインアラートは設定しておきたい。

なぜ楽天は実装しないのか

フィッシング詐欺やアカウント乗っ取りがニュースでも話題になっているので二段階認証の優先順位は高いと思う。システム構造的に上手く切り替えられない問題があるのだろうか。

質問の回答

二段階認証について楽天に問い合わせた。ポイントは3つ。

質問と回答
  • 二段階認証は無いのか? > 無い
  • 無い場合は問題ではないか? > 問題意識はある
  • 今後実装する予定はあるか? > 担当部署と連携し検討

やはり二段階認証は実装されていなかった。楽天規模のサービスで二段階認証がないのは少し驚いた。

システムに問題がある

ここからは完全に筆者の妄想である。ユーザー認証などの機能は別レイヤーで管理され他システムに影響しないような仕組みになっている。ただしユーザー権限が複雑なシステムでは単純なシステムではこの限りではない。楽天は楽天市場のアカウントで複数のサービスにログインすることができるので何か複雑になっているのだろうか?認証レイヤーの切り替えだけであれば通常問題ないと思うが、データベース構造や性能面で何か問題があるのかもしれない。

MNOで忙しい

楽天様はMNO(移動体通信事業者)に参入してかなり力を注いでいるのではないだろうか。二段階認証などやってる場合ではない。加入者数を何としても増やさなくてはならない。もちろん旧楽天モバイル(MVNO)ユーザーにはいち早く新しいプランに乗り換えていただきたい。旧プランでのログインなどもっての他である。

旧楽天モバイル(MVNO)のメンバーズステーションにログインできない会員メニューが見つからない

国内企業だから

昔から海外のIT企業はアクセルの踏みっぷりが良い。SE時代に色々な企業を見てきたが顕著。彼らはリスク承知でアクセルをべた踏みする。大失敗するケースもあるが大抵そこまで問題にならない。国内企業は慎重にアクセルを踏む。ミスすると叩かれるので慎重に物事をすすめる。楽天での二段階認証実装は何らかのリスクがあり慎重になっているのではないだろうか。ただし、国内でもヤフーはぶっ飛んでいるので例外である(良い意味で)。

二段階認証なしでどうする

現状では楽天の利用を中止することはできない。何とかして少しでも安全に運用できないだろうか。

楽天のサービスはやめられない

楽天市場では掘り出し物がたまにあり、特にアパレルや高額商品などAmazonより安いことがある。食料品関係は楽天でした手に入らないものもあるため楽天市場の利用はやめることは難しい。最安値商品を探す時に楽天市場は必須なのだ。筆者は楽天アフィリエイトと呼ばれる商品紹介サービスも利用しているのでなおさら止められない。

楽天でお得な商品
  • アパレル
  • 高額商品
  • 食料品

パスワードを強固なものにする

止められないないなら何とかするしかない。ブルートフォースアタック(総当たり攻撃)対策としてパスワードを強固なものに変更。使いまわしを避け数字や記号をふんだんに盛り込む。パスワードを忘れると厄介なので「秘密の質問」は必ず設定しておこう。

ログインアラートを設定する

二段階認証は無いがログイン時にメールでお知らせする機能。新しい端末でログインした場合に登録メールに通知が届く。これを設定しておけば、アカウント乗っ取りを短期間で発見することができるだろう。

まとめ

とりあえずログインアラートを設定したので今後アラートのメールには注意しようと思う。通常は認証機能システムレイヤーは分かれており問題なく切り替えられると思うのだがダメなのだろうか?筆者はシステム的、政治的、色々なしがらみがあってきっとできないと察している。簡単にできるならとっくにやってるはず。セキュリティ強化のプライオリティは低くないと思うのでのっぴきならない事情があるのだろう。今後のエンハンスに期待したい。

ポイント
  • 楽天市場のアカウントに二段階認証はない
  • 実装予定は未定でセキュリティとして問題意識はある
  • 代わりにログインアラートを使って対策する

ログインアラートは必ず設定しておきましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です