それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

イオンカードのログインでワンタイムパスワードの送信画面をスキップする方法

イオンカードのログインにワンタイムパスワードの送信画面がめんどくさい

イオンカードにPCからログインすると、ワンタイムパスワードの送信画面になる。 f:id:takuya_1st:20190927013104p:plain

これは、リスクベース認証と呼ばれるものであり、リスクが高いアクセスは「追加認証」を要求するという考えによるものです

スマホページからログインすると追加認証がない。

不思議なんですが、「スマホページ」からアクセスすると「追加認証」が発生しません。

f:id:takuya_1st:20190927013402p:plain

スマホページにアクセスするには

Google 検索で、「イオンカード ログイン」 で検索してみてください。

Google検索はスマホページを優先的に表示します。そのためスマホページのログイン画面がまっさきに検索結果に上がってきます。

f:id:takuya_1st:20190927013646p:plain

Google検索からログインページに到達すると、パソコンでも追加認証が発生しません

これはセキュリティ対策をスルーしていますが犯罪ですか?

いいえ、イオンカードのセキュリティ対策が根本的に「誤り」です。

Google検索だけでたどり着くので、このようなアクセス方法は自然なものです。

イオングループが意図して隠しているわけでもありませんし、PCだけセキュリティを厳しくしていることは「明確に公開されていません」 つまり、私達が回避しても、不正アクセス禁止法にかかるようなものでもありません。

セキュリティに関して

このような、セキュリティ対策にならないものを、リスクベース認証と呼称し、間違った概念を広めているイオングループは意識を改めてもらいたいと思います。

スマホページにはメールによるワンタイムパスワードを導入せず、パソコンからのアクセスのみにワンタイムパスワードを導入して煩雑にしているだけです。煩雑にすることがセキュリティでは無いと思います。

また、このようなアクセス方法を不正アクセス禁止法にもとづく不正アクセスというためにはGoogle検索という誰でもたどり着く公開ページからのアクセスをストップする必要があり、対策していないイオンカード側の落ち度と言えます。

とっととスマホページにも2段階認証を導入するか、PCブラウザからの2段階認証を見直す必要があると思います。

なぜブログ記事にしたのか

このような現状はもう1年以上続いています。

最近、イオンカードが取った対策は、ログインページを使いにくくすることという「とんでもない」対策でした。

ダイアログをだして、ページ遷移を促すのですね。これはひどい対策です。

f:id:takuya_1st:20190927015546p:plain

iPadスマホですか?PCですか?よくわかりませんが、2段階認証を回避されたくないという意図をビンビンに感じます。

私は、これをみてもう記事にして公開したほうがいいなと思った次第です。

イオンカードのWEB明細必須化か・・・

さらに言えば、かりにアカウントを取られたとしてもカードの利用明細を閲覧には、経済的損害は発生しません。閲覧という行為に対するリスクベース認証として、現状は過剰すぎるのではないでしょうか。

登録情報の編集などリスクの高い変更についてリスクベース認証をするのは理解できますが、閲覧に二段階認証はやりすぎではないでしょうか。何度も書いてますが、「郵送」に比べてWEBページの閲覧は相当に煩雑であり、ユーザーに手間を押し付けるものであります。エコでもなんでもありません。郵便局の配達は、イオンカードの明細の有無に関係なくルートを巡っています。CO2削減にもなりません。ペーパー発行を控えてもエコにはなりません。コスト削減の言い訳に使うエコはエコロジーでなくエコノミーです。本当にエコロジーを実現したいのであれば配達先の集配局の近辺ででオンデマンド印刷して配達すればいいわけです。多大なコストを掛けたWEB明細を必須にするのは、利用率の改善の意図を疑ってしまいます。なぜ利用率が悪いのか、使い勝手が悪いのでは無いでしょうか。多大なコストを掛けて作ったWEB明細サービスやアプリが利用されないテコ入れであれば、「サンクコスト」としてとっとと諦めるか、ユーザー動線を調査をするのがあるべき姿だったと思われます。小手先の対応や必須化などと社内理論としか思えない言い訳につきあわされる私達利用者は溜まったもんじゃないですよね。

参考資料

利用端末の登録をしましたが、ログインするたびにワンタイムパスワードの送信画面が表示されます。 | よくあるご質問| 暮らしのマネーサイト