通販サイトで第三者に勝手に商品を購入され、受け取り先のコンビニの店頭から持ち去られる事件が発生した。通販サイトはコンビニ受取りを中止するなどの対策を講じた。
一部の通販サイトが提供している「コンビニ受け取り」は、購入した商品を全国各地の希望の店舗で、24時間いつでも受け取ることのできる便利なサービスだ。荷物の到着を知らせるメールに記載された番号(問い合わせ番号と認証番号)やバーコードがあれば、誰でも店頭で商品を受け取ることができ便利な反面、到着メールを横取りされると、第三者に持ち去られてしまうおそれがある。
不正購入や到着メールの横取りは、フィッシング、マルウェア感染、サイトからの流出などが原因で起きる不正ログインや、マルウェアによる監視、遠隔操作などによって発生する。これらを防ぐには、次のようなユーザー側からの対策が必至となる。
<マルウェア対策>
・システムやアプリを常に最新の状態にしておく。
・添付ファイルやダウンロードファイルは、安全性が確認できるもの以外は開かない。
<フィッシング対策>
・ログイン時や重要な情報を入力する際には、ブラウザのアドレスバーに錠前マークが表示され、なおかつ正しいURLまたは運営者名が表示されていることを確認する。
それでも防ぎきれない事態に備え、通販サイト側もいくつかの対策を講じている。
(1)アカウントの2段階認証
SMSやアプリなどを使用した認証を追加することで、ID/パスワードが何らかの方法で取得された場合の不正ログインを防止する。オプション機能なので、ユーザー自身で設定する必要がある。
(2)購入時、配送先変更時の本人確認や追加認証
ID/パスワードによる再認証、SMSやアプリなどを使用した追加認証、決済情報の一部または全部の入力強制などで、不正ログインやログイン済み端末の不正操作による購入や配送先変更を防止する。
(3)受け取り方法による購入可能な商品や支払い方法の制限
商品に応じて配送先を制限したり、受け取り方法に応じて支払い方法を制限したりすることで、第三者に商品を奪われ、債務だけが残る事態を避ける。
(4)到着通知メールの送付先制限
到着通知メールは必ず購入者に届け、送付先の変更を認めないことで、第三者への漏えいリスクを軽減する。
もし利用している通販サイトが、ID/パスワードだけでログインでき、コンビニ受け取りや別の配送先が無条件で指定でき、通知メールの送付先まで変更できたなら、商品の購入から受け渡しまで、知らない間に行われてしまうおそれがある。2段階認証の利用やクレジットカード情報などの決済情報をサイトに残さないようにする自衛手段を講じていただきたい。
(2018/08/24 ネットセキュリティニュース)
【関連URL:NTTドコモ】
・不正なアクセス対策としての「2段階認証」ご利用のお願い
https://www.nttdocomo.co.jp/info/notice/page/180814_00_m.html
・ドコモオンラインショップにおける2段階認証開始について
https://www.mydocomo.com/onlineshop/information/notice/20180815_01.html
・ドコモオンラインショップにおける商品受取方法の変更について
https://www.mydocomo.com/onlineshop/information/notice/20180822_01.html