自宅で手軽に炭酸水が作れる「ソーダストリーム」。 私はシリンダーの着脱がワンタッチになった「TERRA(テラ)」を購入したのですが、その際に開催されていた「ソーダストリーム 値上げに対抗キャンペーン」(2,000円キャッシュバック)に応募していました。
この応募、昨今では珍しく「レシートを貼って郵送する」というアナログな方式でした。 封筒をポストに投函したのが数ヶ月前。「あー、そういえば出したなぁ」と記憶も薄れかけていた1月28日の朝、楽天銀行から一通のメールが届きました。
結果から言うと、無事に2,000円は受け取れました。ソーダストリームさん、ありがとうございます。 しかし、その受取手続きの過程で、いちガジェット好きとして「この仕様はセキュリティ教育的にどうなんだ?」と、小さくないモヤモヤ(懸念)を感じてしまいました。
今回は、実体験から感じた楽天銀行「かんたん振込(メルマネ)」の構造的な危うさと、私たちがどう自衛すべきか、そしてサービス提供側への建設的な提言をまとめたいと思います。
忘れた頃にやってきた「2,000円」の通知
1月28日の午前9時過ぎ、私のスマホに楽天銀行からメールが届きました。 件名は『【楽天銀行】ソーダストリーム(株)様からのメルマネによる送金があります』というもの。
パッと見た瞬間、少し身構えました。
送信元アドレスこそ service@ac.rakuten-bank.co.jp という楽天銀行の正規ドメインですが、本文の宛先には SSTJapanMKTGmailmoney@pepsico.com という、やたらと長くて見慣れないアドレスが記載されています。(※ソーダストリームはペプシコ傘下なので正しいのですが、ぱっと見は怪しいですよね)
アナログな郵送応募だっただけに、いきなりデジタルなメールで、しかもリンク付きで連絡が来ると、反射的に「フィッシング詐欺か?」と疑ってしまいます。
あまりにも「あっけない」受取手続き
意を決してメール内のURLをクリックしました。 私は楽天銀行の口座も持っていますが、普段使いのメイン口座ではないため、今回はあえて「他行口座で受け取る」を選択しました。
ここからの挙動は、私の予想を裏切るものでした。
通常、ネットバンキングでお金を扱う場合、厳重なログインや二要素認証が当たり前です。 しかし、画面に表示されたのはシンプルな入力フォームだけ。
- 金融機関を選択
- 支店名を選択
- 口座番号と口座名義(カナ)を入力
これだけです。 楽天銀行へのログインもなければ、事前の「合言葉」の入力もありません。 「実行」ボタンを押すと、あっさりと振込手続きが完了しました。
「えっ、ログインもしないで、口座番号入れるだけでいいの?」
単発の受取手続きなので、アプリ導入や会員登録が不要なのは当然かもしれません。 ただ、お金を受け取る以上、「本人確認のためのもうワンステップ(認証の壁)」くらいはあるだろうと予想していたのですが、それすらありませんでした。 あまりに障壁がなさすぎて、逆に拍子抜けしてしまったのが正直なところです。
何が「モヤモヤ」するのか?
誤解のないように言っておくと、今回のソーダストリーム社の送金方法は、楽天銀行が企業向けに提供している「マスペイメント(大量送金)」という正規のサービスです。 個人のメルマネ送金とは違い、「氏名(カナ)の一致」を認証の代わりにする仕様のため、合言葉が省略されているのです。システム的な不具合ではありません。
私が問題視したいのは、システムのバグではなく、「ユーザーのセキュリティ意識(行動習慣)への悪影響」です。
「メールのリンクから入力」の正規化
セキュリティ講習では、口を酸っぱくしてこう教わります。 「メールのリンクから飛んだ先で、銀行の個人情報を入力してはいけません」
しかし、このサービスは公式の手順として、それをユーザーに強要しています。 これに慣れてしまったユーザーは、「楽天銀行からのメールなら、リンクから飛んで口座番号を入れても大丈夫なんだ」と学習してしまいます。
フィッシング詐欺への耐性が下がる
もし明日、詐欺師がこのメールを精巧に模倣し、入力フォームに「口座番号」だけでなく、ついでに「暗証番号」の入力欄を作ったらどうなるでしょうか?
「ログイン不要で入力する」というフローに慣らされたユーザーは、何の疑いもなく、流れ作業で暗証番号まで入力してしまう恐れがあります。 「正規の手順」が「詐欺の手口」とあまりにも似ている。これが、私が感じる最大の懸念点です。
【提言】「登録情報」を使った認証の導入を
ただ批判するだけでは建設的ではありません。 「アプリ不要・会員登録不要」という利便性を維持しつつ、ユーザーのセキュリティを守るために、プラットフォームを提供する楽天銀行には以下の仕様変更を検討していただきたいです。
口座入力の「前」に本人確認を挟む
もちろん、現状でもノーチェックでお金が振り込まれるわけではありません。 入力画面の注意書きには、以下のように記載されています。
※受取口座名義(カナ)は振込人が振込先に指定した名義と一致している必要があります。
つまり、「ソーダストリーム社があらかじめ指定した受取人名義」と、「ユーザーが入力した受取口座の名義」が完全に一致しないと入金エラーになる仕組みです。これにより、誤って他人の口座に入金されることは防がれています。
しかし、これはあくまで口座情報を全て入力し、送信ボタンを押した「後」に行われる整合性チェックです。 セキュリティ意識を高めるためには、口座を入力させる「前」に、本人確認の壁を作るべきです。
【改善案:登録電話番号の照合(ナレッジ認証)】 今回のキャンペーンは郵送での応募でしたが、応募用紙には「日中連絡のつく電話番号」を記入する欄がありました。このデータを活用しない手はありません。
- メールのリンクをクリックする。
- いきなり口座番号を聞くのではなく、「応募用紙に記入した電話番号(下4桁)」の入力を求める画面を挟む。
- データが一致した場合のみ、口座情報の入力画面が開く。
これならば、新たなパスワード設定も、SMS送信のコストも不要です。 「メールのURL」に加え、「応募時の電話番号」という鍵がないと先に進めないため、万が一メールが第三者に盗み見られても、勝手にお金を受け取られる「横取り被害」を確実に防ぐことができます。
また、フィッシング詐欺に対しても、「何も考えずにクリックして入力」という無防備な行動を食い止め、「あれ? 登録した番号なんだっけ?」と一呼吸置く(記憶と照合する)時間をユーザーに与えることができます。
なにより、「大事な情報を入力する前には、必ず認証がある」という正しいセキュリティ習慣をユーザーに提供できます。
私たちが身を守るための「防衛ライン」
システムが改善されるまでは、私たちユーザー自身が「境界線」を引いて自衛するしかありません。 今後、同様のキャッシュバックや送金メールが届いた際は、以下の鉄則を思い出してください。
1. 送信元を必ず確認する
今回の場合は service@ac.rakuten-bank.co.jp でした。ここがフリーメールや謎のドメインになっていないか確認しましょう。(ただし、送信元偽装の可能性もあるので過信は禁物です)
2. 「暗証番号」は絶対に入れない
ここが最後の、そして最強の防衛ラインです。 お金を**「受け取る」**ために、以下の情報は100%不要です。
- キャッシュカードの暗証番号
- ネットバンキングのログインパスワード
- クレジットカード番号
入力画面でこれらを聞かれた瞬間に、「あ、これは詐欺だ」と判断してください。 「口座番号」と「名義」は振込に必要ですが、それ以外の「鍵」になる情報は絶対に渡してはいけません。
まとめ
ソーダストリームのTERRA自体は非常に満足度が高く、キャッシュバックキャンペーンも迅速に対応してくれたので、企業としては素晴らしいと思います。
ただ、それを支える金融インフラである楽天銀行側には、今の時代のセキュリティ水準に合わせた「ユーザーを教育するUI/UX」へのアップデートを切に願います。
「便利」の裏側には、必ずリスクが潜んでいます。私たちはそのリスクを正しく理解し、思考停止にならずにサービスを利用していきましょう。
みなさんの元にも、忘れた頃にキャッシュバックが届くかもしれません。その時は「おっ、ラッキー!」と思う前に、この記事のことを少しだけ思い出してみてください。
