Adobeの情報流出でログインIDとメールアドレスの関係を考えてみた

Adobeへの不正アクセスによるログインIDとパスワード流出の件で、その影響がAdobe以外の他のサイトのログインにも影響してくるんだなと改めて気が付かされました。

そこで、ログインIDとメールアドレスについて考えてみました。

メールアドレスの扱いについて

複数のメールアドレスを持つこと

多くのサイトでメールアドレスが、ログインするときのIDに使用するようになっています。そこで、Adobeの件ように1つのウェブサービスからメールアドレスが漏れたら、他のサービスに影響しないようにウェブサービスごとにログインID用のメールアドレスを取得して使用するなんてことを思いつきます。

しかし、この方法は現状では非現実的な取り組みになると思います。
その理由は、片手の指で数えられる程度のウェブサービスしか利用していないなら、まだ実践できる可能性が高いのですが、利用するウェブサービスが増えるたびにメールアドレスを取得してしなければならずメールアドレスが増える分だけメールサービスごとにサイトにアクセスする必要があり、その管理だけでもかなりの手間と時間を要してしまいます。

また登録しているウェブサービスからのお知らせが届いていても使わない・アクセスしないメールアドレスですと気が付かないことによる危険性もあります。

仮に利用しているウェブサービスの数だけメールアドレスを作成して、それがメールアドレスごとに別の会社のもだとして、それを一か所でメール管理をするため外部メールの受信などを駆使しても、その手間や受信できるメールアドレスの数には限界があるので現実的な対応にはなりません。

そこで、ログインIDに使用しているメールアドレスの対策として、Yahooメールのセーフティアドレスのような迷惑メール対策で「捨てることができるメールアドレス」サービスが、これから重要なのではないかと思ったりします。

Yahooメールの場合ですと、登録に使うメールアドレス(セーフティアドレス)を一ヶ所で複数管理できるので利便性も高くお知らせなどのメールも一か所に届くので見落とすこともなく、またメールアドレスが漏れた場合には、そのアドレスを捨てて新しいメールアドレスにすることも簡単です。

このYahooメールを使わなくても、クライアントメールソフトを使うことで複数のメールを一緒に管理して見ることも可能ですが、これをするには捨てられるメールアドレスを複数作成することができるサービスを利用する必要があり、他のメールサービス(ソフト)で扱えるように捨てアドレスのほうでPOP設定ができるようになっていなければなりません。

ここで重要だと思うのは、コアのメールアドレスを守ることと、複数メールアドレスを1つのサービス(ソフト)で管理することができることです。そして要らなくなったメールアドレスは削除できることです。

要約すると(捨て)メールアドレスを変えても一か所で管理できるので、メールを見忘れる心配もほとんどありませんしコアのメールアドレスは守れるということです。

ただし、この方法もウェブサービスごとにメールアドレスを作成しなければいけないので、その手間が必要になります。

漏れた時メールアドレスごと変更することについて

メールアドレスが漏れたときに、その都度メールアドレスを変更(取得)するという方法も考えられますが、この方法も利用しているウェブサービスの数が少なければ有効な方法になると思いますが、利用しているウェブサービスの数が多ければ多いほど手間と時間を要します。

ウェブサービスによっては、お問い合わせからメールアドレスを変更しなければいけない、なんてところもいまだにありますし、そもそも変更出来ない仕様のサービスもあり、それを変更するには、やはりお問い合わせをするしかないということも考えられます。

また、メールアドレスを友人とのやり取りに利用しているものなら、変えたことを知らせる必要があるかもしれません。でもメールしたくない人にもしないといけないなんてことも場合によってあるんじゃないでしょうか。

このように様々なところで利用しているメールアドレスですと、変えようがないのが現実ではないかと思います。時間を掛ければ変更することは可能かもしれませんが、メールアドレスの変更に手間と時間を要し、また不都合がないか見定めるための時間もそれなりに必要になります。

ここで思ったのが、メールアドレスは出来れば変えたほうが良いけれど現実として変更するのが難しいということで、メールアドレスが漏れたことによって将来メールアドレスを変更しようとしたときに「メールを変更しました」というお知らせをせずに済むようにウェブサービスに利用するメールアドレスとコミュニケーションなどに利用するメールアドレスは別に分けるべきだということです。

最後にウェブサービス提供側のログインIDに対して思うこと

ここまでは、Adobeの件でユーザー視点で考えるメールアドレスの扱いについて書きましたが、企業(ウェブサービス)側に対しては、「ログインID=メールアドレス」を採用している会社が多いことが問題だと思っています。

不正アクセスによって漏れるレベルによりますが、仮にログインIDとメールアドレスが別の扱いになっている場合でログインIDと暗号化されたパスワードが漏れる不正アクセスのレベルの場合、1つ会社のログインIDを捨てて新しいログインIDに変更するだけで済み、メールアドレスまで漏れていなければ広範囲に影響を与えることもなくユーザーとしては負荷が少なく済みます。

広範囲に影響する可能性が高いメールアドレスの扱いは、ある金融機関のようにお知らせや実行時にワンタイムパスワードを発行するときに使用するなどログインIDとメールアドレスを分離させる対策を進めるべきだと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です