通販サイトが不正ログインにあうケースが頻発している。5月のディノスを皮切りに、三越伊勢丹ホールディングスやエイチ・ツー・オーリテイリング、さらにはニッセンも被害にあっている。通販サイトだけではなく、ヤフーの「ヤフー!ジャパン」やNTTレゾナントの「goo」をはじめ、さまざまなジャンルのウェブサイトが不正ログインを受けている状況だ。通販関連企業は昨今のセキュリティー事情を踏まえ、利用者の保護とサイトの信頼性確保に全力を尽くすべきだ。

　不正ログインといっても、ID・パスワードは攻撃を受けたサイトが漏らしたわけではない。攻撃者は、他社サービスから流出したID・パスワードを用いてログインできるかどうかを試している。つまり、ユーザーが一つのID・パスワードの組み合わせを、複数サイトに使い回しているかを確認しているわけだ。こうした中で、通販事業者はどのような対策を取るべきだろうか。

　不正ログインそのものを防ぐことは難しい。利用者がID・パスワードを、漏れた他サイトのそれと同一にしていた場合は防ぎようがないからだ。専門家は「やられたときにどう対処すべきかが重要であり、アリバイ的な対策を重ねれば良い、というのは少し違うのではないか」(ラックの西本逸郎取締役CTO)と話す。例えば、前回ログイン時と違う場所やパソコンからログインをしようとした場合に認証を設けるといった方法も考えられるが、こうした制限はユーザーの利便性を妨げ、利用者離れにつながる恐れもある。

　自社の顧客を守るためにも、まずは「使い回し」がどれだけ危険かをユーザーに周知する必要がある。もう一つ重要なのは、不正ログインを受けた際の悪用を防ぐこと。クレジットカード情報をそのまま閲覧できるようにしない、商品配送先を簡単に変えられるようにしない、といった配慮が必要だ。

　実際に、「使い回せる」IDとパスワードが悪用される事件も起きた。7月10日に、楽天の仮想モール「楽天市場」会員のポイントが、第三者によって不正に電子マネー「楽天Edy」へ移行される被害が出ていたことが分かった。楽天では、他社サイトから流出したと思われるID・パスワードを、本人になりすました第三者が使用したことが原因と説明している。

　ポイントの電子マネーへの交換自体は、ユーザーにとって利便性の高いサービスだ。ただ、本人確認を実施していないEdyカードへのチャージを可能にしていただけに、交換のタイムラグを設けるといった配慮が必要だったのではないか。

　また、同社は楽天市場のトップページ下部に「パスワード変更のお願いについて」というリンクを設け、リンク先で今回の不正ログインについて説明しているが、これでは気づかない利用者も多いだろう。また、不正ログインはID・パスワードを使いまわした利用者の責任が大きいにせよ、楽天は不正ログインの規模や不正移行の被害額などを明らかにすることで、セキュリティーを軽視する利用者に警鐘を鳴らす責務があるのではないか。