パスワード不要時代、あなたのECは守れるか?
「SNSが乗っ取られました!」
タイムラインでよく目にしてきたこの投稿、
ビジネスに関係の無い個人ユーザなら、ある意味ご一興ですまされますが、SNS広告を運用していたりすると、ブランド棄損や意図しない広告費の請求など、EC運営に大打撃となる場合があります。
多くは、パスワードの使い回しなどが原因ですが、SNS自体が脆弱なケースもあります。
「2段階認証してたのに」
こちらはここ数年、特にインスタグラムやフェイスブックではよく耳にする問題です。結論、2段階認証には、SMS方式と認証アプリ方式があり、事故の原因はほとんどが「2段階認証はしてたけど、SMS方式だった」というものです。
確かに、通常のIDとパスワードでログインして、さらに自分の電話番号に届く認証番号を使った「SMS方式の2段階認証」は安全かのように思われますが、フィッシングサイトなどを使えば、本人に気づかれずに認証コードを騙し取ることが可能です。
SMSから認証アプリに切り替えること
ではどうすれば良いか?SMSではない2段階認証、つまり、「認証アプリを使った2段階認証」に切り替えるべきです。URLが長くなるので、「Instagram 2段階認証 認証アプリ ヘルプセンター」などで検索をお勧めします。スマホに認証アプリをインストールすることで、安全なログインが可能となります。なぜ、認証アプリが安全かというと、スマホの指紋認証や顔認証といった生体認証やPINコードなどが要求されるため、スマホそのものを持っておく必要がありフィッシング詐欺といった心配がなくなるためです。ただし、スマホを落とすなどした場合は例外となりますので、ここはパスワードを強固に保つことが重要となります。
パスワードそのものも強固であるべき
つまり、EC運営に関わるものなら、2段階認証に頼るのではなく、スマホやPC紛失に備えて強固なパスワードにも気を配り、
●使いまわさない
●エクセルなどにメモしない
●記号を含む複雑な文字列にしておく
●ブラウザのパスワード管理ツールに保存しない
といった努力は最低限必要となります。
その強い味方として、本稿でも何度かご紹介しているのが、LASTPASSです。https://www.lastpass.com/
英語版しか無いのはハードルですが、その他のパスワード管理ツールと比較しても、スマホとパソコンの連携や使い勝手などから最もお勧めできるツールと考えます。用途によっては有料版を選ぶ必要がありますが、ECサイトに関わるお客様や自社スタッフを強固に守るためには、そこまでして惜しく無い、といったところでは無いでしょうか。
パスワード不要の時代?「パスキー」
しかし一方では、そこまでやってられないよ、というお声も上がるでしょう。特に、一般のお客様を対象としたサービスでは、2段階認証やらパスワード管理ツールやらと言われても、気にせず顧客は誕生日などの脆弱なパスワードをガシガシ使い回していると思われます。
そこで最近各社が導入しているのが、パスキー方式です。よくIT系ニュースで「パスワード不要の時代がやってきた!」などと喧伝されているのを見かけると思います。簡単に言えば前述した「認証アプリ」と同じスマホの生体認証などを使った仕組みで、正式名称は「マルチデバイス対応FIDO(ファイド)認証資格情報」です。グーグル、アップル、マイクロソフトが推進するパスワード不要、横行するフィッシング詐欺を回避できるログイン方法として導入。誰でも簡単に操作できるため、日本でもドコモやYahoo! JAPANが軒並み採用していて、実際にセキュリティ事故の軽減に成功しているようです。
ただし、スマホを紛失したらパスワードは必要となりますので、やはりLASTPASSなどのパスワード管理ツールはEC関係者にとっては必要でしょう。
また、EC関係者ならそもそもオフィス以外のWi-Fiは信頼するな、を合言葉に、喫茶店や空港で飛び交う見知らぬWi-Fiは使わないこと。パソコンからなら自分のスマホ経由でネットに繋げるテザリングを徹底するなど、フィッシングやパスワード漏洩には今まで通り、十分に気を配るべきでしょう。
JECCICA客員講師 宮松 利博
得意分野/Eコマースの立ち上げ・販売拡大
1998年に公開したフリーウェアがヒット。その知見で開発した商品が大手ECコンテストで12部門受賞、3年で年商20億円に(現ライザップ)。上場と同時に保有株を売却し、ECコンサルティング会社を立ちあげ、業界No.1クライアントを多数抱える。日本イーコマース学会専務理事。
RIZAPグループ社創業時の商品開発とマーケティングを手がけ3年で年商20億円に成長、上場と同時に保有株を売却し、Webコンサルティング株式会社ISSUNを設立。日本イーコマース学会を立ち上げ、産官学連携にも取り組む。