最近ネットで会員登録しようとすると通常のメールアドレス以外に「Facebook」や「Twitter」「Amazon」「LINE」「Google」などで簡単登録ができますとしているサイトがかなり増えました。
こういった他社サイトのIDで会員登録できる仕組みを「ソーシャルログイン」と言いますが、私はおすすめをしていません。
なぜなら危険もあり得るからです。
今回はその理由についてです。
この記事のもくじ
実はメリットがあるのは会社側
会員登録というのはこれからサービスを利用しようとするユーザーからするとかなり面倒な作業となります。
実際、これから利用しようとしたサービスが意図せず会員登録が必要だったために利用をやめた経験ってないでしょうか。
そういったデメリットを無くすために会社側は様々な工夫をしており、その1つがソーシャルログインになります。
離脱を防止するための仕組み
ソーシャルログインというのはそもそも会員登録を簡略化して登録作業を軽減する目的があります。
登録の際に名前や生年月日、電話番号などの情報を取得しますよと確認が出るのですが、登録項目をSNSなどの登録情報から埋めてくれるので利用者にはとっても便利で作業軽減に繋がります。
実際ソーシャルログインの仕組みを提供している会社はこの作業の軽減で離脱率を下げる事を一番のメリットとして売出しをしています。
会社のコスト削減にも
会員登録をしてもらいたい会社にとってはそれ以外にもメリットはあり、例えばログインの仕組みを使っている以上セキュリティリスクというのは常につきまといます。
そのために予算を掛ける必要あるのですが、ソーシャルログインでIDやパスワードの管理を他社に依存してしまえばその分経費削減になりますし、万が一の情報漏えいなども無関係となってきます。
またIDとパスワードを扱っている以上わからなくなったユーザーへの問い合わせ対応も必要となり、これも他社任せにすることで時間と人件費の節約に、またログイン情報を忘れたがためにログインしなくなったユーザーを減らすことができ、再度の訪問率も上げることができます。
必要以上のデータ提供も
会社にとって最もメリットがあるのはSNSなどからデータ収集ができることでしょう。
SNSの種類にもよりますが、氏名やふりがな、電話番号、ニックネーム、生年月日、メールアドレス、性別、フォロワー、学歴、友達リストなど通常の会員登録ではハードルが高いとされる項目まで自動取得することができます。
もちろん何が取得されるかはキチンと表示されますが、ほとんどのユーザーが登録を急ぐあまり深く確認をしていないのではないでしょうか。
もちろんアパレル関係などは通販に使う名前や住所や性別などは必須ですが、例えばフリー素材のサイトで性別や本名、居住地域、生年月日なんかを必要とされたらちょっと怖い気もしますよね。
もしSNSが乗っ取られたら
ソーシャルログインが危険な理由は実は別にあります。
それが利用しているサイトのログインを乗っ取られた時です。
FacebookやTwitter、そして時にはLINEも乗っ取りってありますよね。
もしあなたが有能なハッカーでSNSなどを乗っ取ったら何をしますか?
もちろん乗っ取り先のサービスを使って広告を流したり、勝手に商品を購入したりもありますが、ソーシャルログインで連携しているサイトを調べることだってできるわけです。
連携サイトは表示される
例えばAmazonの場合です。
Amazonアプリで右下の三本線を押します。
「アカウントサービス」を選びます。
「Amazonログインの設定」を選びます。
ソーシャルログインを利用しているサービスが一覧で表示されます。
乗っ取り犯にアクセスされるかも
上記のようにたった3ステップで連携しているサイトがわかります。
自分の連携サイトを表示してみるとわかりますが、どのサイトを使っているかがハッキリわかるようになっていますので、もし不正アクセスでここをみられてしまうと連携サイトまでバレてしまうわけです。
どのサイトで連携したか覚えていない
さてここからが問題です。
もしSNSなどを不正アクセスされた場合一番最初にされることが「パスワードの変更」です。
パスワードを変更されてしまうと残念ながらログインは不可。
そうなると提携解除さえもできません。
さてここで質問ですが、ソーシャルログインで登録した覚えのある方、どのサイトを何のIDで登録したか言えますか?
恐らくほとんどの方が忘れてしまったいるのではないでしょうか。
これも気軽な登録ゆえの弊害で、気軽すぎて記憶にも残っていないのです。
ということで乗っ取りにあうとどのサイトの提携かも思い出せず、気がついた時には提携サイトでも勝手にログインされて買い物、請求だけが来てしまうなんてこともあり得るかもしれません。
対応策は?
対応策としてはソーシャルログインは使わずIDとパスワードを作っての正規ログインが一番のおすすめです。
ただこの場合同じIDとパスワードで複数のサイトに会員登録することが普通になってしまい、手に入れた1パターンのIDとパスワードで様々なWebサイトにアクセスを試みる「パスワードリスト攻撃」という不正アクセスを受ける可能性が高まります。
かと言ってノートにパスワードを書いているのも不用心です。
パスワードマネージャーがおすすめ
そこで活躍するのが「パスワードマネージャー」などのソフト。
これはパスワードをサイトごとに管理してくれるソフトなのですが、登録しているサイトに自動的に入力しログインが簡単になるというメリットもあります。
つまりそもそも覚えておく必要すらなくなるという気軽さ。
何文字以上とか記号混じり、大文字と小文字を混ぜてなど複雑なパスワードはソフトが自動的に作成してくれるので便利。
しかもデータは高度な技術で暗号化されており、クラウド上にもバックアップされます。
なのでPCが万が一故障しても新しいPCで完全復旧できることは当然のことながら、Windows、Mac、iPhone、Androidなど、1度の購入で台数制限なしにソフトのインストールが可能で、それぞれの端末には自動同期されるのでかなり使い勝手は良いツール。
数千のWebサイトのログインを別々のパスワードで作っていたとしても覚えておくべきパスワードはPCやスマホのパスワードとソフトを開くためのマスターパスワードのみ。
たった4つくらいで数百、数千の違ったパスワードを管理できるのは大きなメリットでしょう。
私もこういったツールを使っていますが、使い始める前は「本当にこういうの必要?お金かける必要ある?」って思っていましたが、使ってみるとかなり便利で今では手放せなくなっています。
大切なIDとパスワード、ぜひこういったツールで楽に厳重な管理をすることを強くすすめます。
