楽天市場は二段階認証に対応しているのか?セキュリティはどうなってる?

  • 2020年5月9日
  • 2021年6月7日
  • IT
IT

楽天市場は二段階認証に対応していないのは今まで書いてきましたが楽天市場のセキュリティは大丈夫なのか?と気になってしまいますよね。

WEBサービスでは当たり前になっている二段階認証。

日本の大手ECサイトである楽天市場が対応しないのはおかしいですね。

現状のセキュリティはどうなっているのか?

今日はそんな楽天市場について書こうと思います。

※2021年5月11日追記 楽天モバイルにおいて楽天IDとパスワード、またはクレジットカード情報にて不正に高額なiPhoneを購入する被害が出ています。
この記事も急激にアクセスが多くなっているので冒頭に書いておきます。
「楽天市場を使うためにはどうしたらいいの?」に対策は書いてありますがクレジットカード情報が漏れていた場合は楽天とは無関係なので契約しているクレジットカードのページへアクセスして利用明細を調べるか営業時間内に電話をして確認する事をオススメします。
被害の無い方も楽天のパスワード変更や「ネットで使った事のあるクレジットカード」の利用明細を調べるのをオススメします。

楽天市場のセキュリティ

 

二段階認証とは

こちらに書いてありますので良ければ見てください。

関連記事

私たちは普段インターネットで色々なサービスを使用しています。 IDとパスワードを使って、ログインしている方はまだまだ多いと思います。 様々なWEBサービスを使って、IDとパスワードを使いまわしていたり簡単なパスワードにしていませ[…]

簡単に説明すると通常IDとパスワードでログインする時にもう1つの要素で二段階目の認証するシステムを言います。

SMS(ショートメッセージ)や認証コードアプリが代表的ですが別のメールアドレスを登録しておいて認証コードを受け取る方法もあります。

問題は楽天が代表的な二段階認証が使えない所にあります。

ログインアラート

ログインがあるとメールで知らせてくれるサービスです。

しかしログインアラートは毎回自分でログインしても通知されるので、正直面倒ではあります。

もし本人がログインしていないのにメールが届いた場合は第三者がログインした事になり、早急にログインしてパスワードの変更などをする必要がありますが、状況としては「自宅に泥棒が本人不在時にもう入っている」事になるので、パスワードを変更しても泥棒もログインしていると言えます。

無いよりはましと言ったところでしょうか。

メールに時間とIPが記載されているのでもしもの時は警察に情報は渡せますが、泥棒がVPNなどを使って侵入した場合などIPが役に立たない事が多いでしょう。

秘密の質問

昔からよくある「本人にしかわからない質問」をして、「本人にしかわからない答え」でセキュリティを高めるシステムです。

これが唯一のセキュリティとも言えるかも知れません。

ワンタイムパスワード

楽天市場のヘルプにこんな記載があります。 ワンタイムパスワードとは

どうもログイン時にワンタイムパスワードを求める場合があると。

しかしワンタイムパスワードはこちらで設定出来ないために楽天側の判断で求めるみたいです。

楽天への質問

上で書いたワンタイムパスワードの利用方法がわからなかったためにチャットで質問してみました。

 

自分
楽天市場でのワンタイムパスワードの利用の仕方を教えて欲しいのですが?
楽天
ワンタイムパスワードにつきましては下記ページをご参考にしていただけますと幸いです
https://ichiba.faq.rakuten.net/detail/000006671
自分
そこを読んで質問しているのですが、、、
楽天
さようでございましたか、それでは「ワンタイムパスワードの利用の仕方」についてどういったことでお困りでしょうか
自分
利用方法が記載されていませんよね?
楽天
上記ページにて「楽天市場ではセキュリティ保護の観点から、楽天会員登録にログインする際に、ユーザIDとパスワードとは別にワンタイムパスワードを求められるケースがございます。
ログイン時にワンタイムパスワード発行画面が表示される場合には、画面の指示に従い、ワンタイムパスワードを発行してください。」
楽天
との記載がございます為、その画面が表示された場合は上記ページを参考に設定くださいませ
自分
設定法はどうすればよいのでしょうか?
楽天
上記ページに記載がございますのでご確認くださいませ
自分
管理情報ページにワンタイムパスワードの記載が無いのですが? どこで設定するのでしょうか?
楽天
いえ、上記にてご案内しておりますがワンタイムパスワードにつきましてはセキュリティ保護の観点から、楽天会員登録にログインする際に、ユーザIDとパスワードとは別にワンタイムパスワードを求められるケースにおいてはじめて表示されるものとなります
楽天
ログイン時にワンタイムパスワード発行画面が表示される場合には、画面の指示に従い、ワンタイムパスワードを発行いただくものとなりますので
お客様にて設定していただき常時使用できるものではございません
自分
つまり IDとパスワードと秘密の質問以外にはログインアラートぐらいしかセキュリティは無い という認識でよろしいでしょうか?
楽天

上記ページにも記載がございますがワンタイムパスワードとはログインする際に、ユーザIDとパスワードとは別に求められるパスワードのことです

楽天市場ではセキュリティ保護の観点から、楽天会員登録にログインする際に、ユーザIDとパスワードとは別にワンタイムパスワードを求められるケースがございます

自分
二段階認証にもまだ未対応なわけですね?
楽天
その二段階認証がワンタイムパスワード、秘密の質問等となります
二段階認証が要求されるタイミング等は様々ですが通常ログインいただく際には表示はされないものとなります
自分
ワンタイムパスワードは楽天側の判断で発行されるという事でしょうか?
楽天
さようでございます
自分
こちらでセキュリティを上げる方法は他にありますでしょうか?
楽天
お客様側にてパスワード、秘密の質問以外にセキュリティ面で設定いただける機能はございません
要約すると
  1. ワンタイムパスワードはあるが自分では設定できない。
  2. ワンタイムパスワードは楽天側の判断で発行される。自分で制御出来ないためどんな時に発行されるのか、されないのかはわからない。
  3. 楽天側の二段階認証は「秘密の質問」と「ワンタイムパスワード」のみ。
  4. 自分で出来る二段階認証は「秘密の質問」のみ。
楽天側は「秘密の質問」が二段階認証だと言っています。20年前かよ!って感じでした。
ワンタイムパスワードもありますが自分で設定できないので効果がわかりません。

楽天市場を使うためにはどうしたらいいの?

 

  1. ログインアラートを設定する。無いよりはまし程度。
  2. パスワードを長く複雑にする。(できれば頻繁に変更もする)
    関連記事

    個人情報の流出を良く聞くようになりましたね。 今、あなたが使っているパスワードはいくつありますか? 20?30? スマートフォンを使い始めてインターネットで気軽に買い物が出来たりと便利ですがネットで何かやろうと思うと作らなければならな[…]

  3. 秘密の質問を設定する。最後の砦なので昔に登録した人はもう一度登録し直そう。わかりやすい秘密の質問は選ばない事 例:初めて飛行機で行った場所など
  4. クレジットカードは登録しない。(SPU:スーパーポイントアッププログラムを狙ってる方は難しいかも)
  5. 楽天をあまり使わない人は楽天会員を退会する。

ここから設定画面に行けます。 楽天会員情報 https://member.id.rakuten.co.jp/rms/nid/menufwd

正直、ここまで酷いとは思いませんでした。

なぜなら、楽天で市場で出品している人ならわかるのですが、楽天ビジネスログインでは二段階認証に対応しています。

なぜ個人には対応しないのか、、、わかりません。

もし楽天側が情報漏洩した場合、ユーザー側で守る手段がありません

楽天会員規約にこうあります。 第3条(IDおよびパスワードの管理)

アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等、会員本人が責任をもって管理してください。楽天グループは、入力または利用されたIDおよびパスワードの組合せが会員の登録したものと一致することを所定の方法により確認した場合、会員による利用があったものとみなします。楽天グループは、盗用、不正利用その他の事情により会員のアカウントを当該会員以外の第三者が利用している場合であっても、それにより生じた損害について一切の責任を負わないものとします。

引用:楽天会員規約 https://corp.rakuten.co.jp/terms/

つまり第三者にID、パスワードを盗まれて損害が出ても楽天は「知らないよ」って事です。

ここまで書くなら楽天のいう二段階認証の秘密の質問では無く認証アプリやSMS(ショートメッセージ)などに対応して欲しいと思いませんか?

クレジットカードを登録していなくても買い物は出来るので登録しないか、買い物時だけ登録するかは難しい所ではあります。(のちに削除)

万が一不正ログインされた場合、クレジットカードを登録してなければ被害はかなり抑えられます。

ポイント消失と個人情報になります。

つい最近楽天モバイルRakuten UN-LIMITに申し込み、加入したばかりなのでクレジットカードの紐づけについても聞いてみました。

楽天市場のクレジットカードと楽天モバイルのクレジットカードが同じなので楽天市場のクレジットカードを削除した場合楽天モバイルの支払先はどうなるんだろうと。

チャットで楽天市場側は楽天モバイルに聞いて欲しいとの事でしたので楽天モバイルにチャットで聞いてみたら別で管理されているみたいです。

Rakuten UN-LIMITは魅力的なサービスなので気になったのです。支払先が楽天市場登録のクレジットカードだと面倒なことになりますからね。

最後に

楽天市場は日本が誇るECサイトです。

でも今回調べた限りではお世辞にもセキュリティが高いとは感じませんでした。

他の方も警告している方が居ますが皆さん私と同じ気持ちだと思います。

自衛策としては繰り返しになりますが

  • ログインアラートは設定しておく。
  • パスワードは長く複雑にしておく。
  • 秘密の質問は答えがわかりにくい質問を選んで設定しておく。
  • クレジットカードはなるべく登録しない。
  • 不要なら退会しておく。

情報漏洩があった場合はどうしようもありませんが、、、

楽天市場は何というか、使いづらいのとセキュリティが不安ではありますが、日本の企業なので応援したい所です。

早く世間で言う普通の二段階認証に対応して欲しいものです。