タミヤに不正アクセス・・・ITリテラシーの低いウェブサービスはどのように利用する?

企業のウェブサーバーへの不正アクセス、個人情報流出があとを絶ちません。
以前Yahooや楽天でも同様の事件がありました。
個人情報流出が起きる企業というのは、ある程度パターン化されています。

  • ITリテラシーが低い
  • セキュリティーにお金をかけてない
  • テクノロジーのレベルが低い

タミヤWEBサーバーへの不正アクセス発生に関する調査報告と情報流出の可能性に関するお詫び

漏洩した可能性のある個人情報
①「見学のご案内」(歴史館・ロビー/社会科見学)にて見学の予約をされたお客様 最大3,824件
ご氏名、ご住所、郵便番号、電話番号、メールアドレス
対象URL:http://www.tamiya.com/japan/news/event/visit/visit.htm
②「タミヤショップオンライン」にてアカウント登録されていたお客様 最大で102,891件
ご氏名、ご住所、郵便番号、電話番号、メールアドレス(ログイン用ID)、ログイン用パスワード(暗号化)
対象URL:http://tamiyashop.jp/shop/
③「TRFプロジェクトサポーター」にて会員登録されたお客様 最大653件
ご氏名、ご住所、郵便番号、電話番号、メールアドレス(ログイン用ID)、ログイン用パスワード(暗号化)
対象URL:http://www.tamiya.com/trf/

不正アクセスへの対策

不正アクセスが行われると、パスワードの流出は加速します。回収できませんからね・・・

先日のエントリーで書きましたが、流出してしまったパスワードの防止策は2つしかありません。

  • パスワードを複雑にして、サービス毎に変更する
  • 2段階認証を設定する

2段階認証を設定するといっても、Google、Apple、Facebookのようなテクノロジーに強い会社でのサービスのみに限られます。

タミヤのような小規模ネットショップを利用する際、「パスワードを使いまわさない」「パスワードを複雑にする」以外の方法はなさそうです。

パスワードを複雑にして、サービス毎に変更する

理想とはいえ、パスワードを使いまわさずサービス毎に設定したものを覚えることは実質不可能です。
以前のエントリーでも書きましたが、「Macユーザーの方はSafari」、「Windowsユーザーの方はChrome」のキーチェーンを使って、クラウドでパスワードを記憶させます。

ブラウザ間でのパスワードの同期の方法です。

Mac + iPhone をお使いの方

「iCloudキーチェーン」で覚えさせましょう。端末の「Safari」でパスワードが同期します。

>Mac + Android をお使いの方

Mac、スマートフォンで「Chrome」を使います。端末の「Chrome」でパスワードが同期します。

Windows + iPhone をお使いの方

PC、スマートフォンで「Chrome」を使います。端末の「Chrome」でパスワードが同期します。

Windows + iPhone をお使いの方

PC、スマートフォンで「Chrome」を使います。端末の「Chrome」でパスワードが同期します。

スマートフォンのアプリのパスワードは!?

現状、「Safari」「Chrome」では、ブラウザ間のパスワードのみで、アプリのパスワードまで覚えてくれません。
iOSやAndroidのOSレベルでなら、ブラウザとアプリ間のパスワードの同期はできるはずなので、早く実装して欲しいです。

キーチェーンのデメリット

GoogleやAppleのクラウドへパスワードを預けることになるので、パスワードが第3者へ知れ渡り、GoogleやAppleへログインされたら全てのパスワードが流出します。
→GoogleやAppleは2段階認証を設定して防ぎます。
Googleアカウントに不正アクセスされていないか確認する

GoogleやAppleのサーバーがハッキングされたら、全て流出します。
→個人レベルでは防げません。

Googleセキュリティー

ITリテラシーの低いウェブサービスは今後どうなる?

一時ソーシャルログインが流行りました。
ユーザーにとって会員登録の手間が省けるのでユーザビリティーが高く、企業にとっても新規会員登録時の離脱率の低下など、双方のメリットがあるということでしたが、最近はあまり人気がありません。ユーザーも勝手に個人情報にアクセスされるのは嫌ですからね。

下記にメリットとデメリットを書きますが、セキュリティー面では、高いサービスとはいえません。

ソーシャルログインのメリット

ユーザー側のメリット

  • 登録の手間がなく、ログインが簡単
  • SNSのID・パスワード以外は覚える必要がない
  • PCサイト、スマートフォン、タブレットなどの異なるデバイスでも利用に問題がない
  • あらかじめSNSに登録されている個人情報をフォームに自動入力してくれるから入力ミスを軽減できる

サイト運営側のメリット

  • 会員情報の登録の手間を省略することにより、新規会員登録の件数がアップ
  • 連携するソーシャルサービスから、様々なユーザー情報の入手
  • 獲得したユーザー情報により、ユーザーにマッチした広告表示
  • ソーシャル連携なので拡散されやすい

ソーシャルログインのデメリット

ユーザー側のデメリット

  • ユーザーにとって不必要に個人情報にアクセスされる恐れがある
  • 実装する会社のリテラシーが低いと、そこから個人情報が流出する

サイト運営側のデメリット

  • 会員サイトに登録されている個人情報の取り扱いに対して、ユーザーが不信感をもつ
  • 利用しているSNSの登録以外の個人情報は取得できない
  • 自社サイトへ実装するには、Web認証に用いられているOAuth2.0やOpenIDといったテクノロジの知識が必要なので、エンジニアが自社にいない場合は導入コストが発生する
  • SNSだけではすべてのユーザーをカバーできない

ソーシャルログインで高いセキュリティーを保てるか

今の技術では難しそうです。
Google、Facebookならテクノロジーのレベルは高いのですが、自社サイトへ実装するには、Web認証に用いられているOAuth2.0やOpenIDといったテクノロジの知識が必要なので、実装する企業のITリテラシーに依存します。

Facebook Connect等のソーシャルログインがハッカーに情報をさらけ出す

FacebookやTwitter、Google等のアカウントを使ってWebサービスやアプリにログインする際は気をつけてほしい。OAuth 2.0やOpenIDといった広く使われているオープンソースのシステムの欠陥を用いて、攻撃者があなたを悪意のあるサイトにこっそりリダイレクトし、個人的なデータにアクセスするかもしれない。

GoogleやFacebookなどで、より強固なセキュリティーが担保できるログイン認証をサービスを開発して貰いたいです。

ウェブサービス毎にパスワードを変更

今のところ、これ以外に良い方法はなさそうです。

ソーシャルログインに関しては、LINEが法人向けに「LINE Login Platform」を開始したので詳細はまた今度レポートします。

フォローする

Instagram

▼このエントリーが役に立ったらいいね!
▼このエントリーが役に立ったらいいね!