読者です 読者をやめる 読者になる 読者になる

子連れトラベラーの陸マイル情報局(JGC・SFCを目指して)

子連れトラベラーが、陸マイルを稼ぎ、子どもを連れて特典航空券で世界を旅したいページ

ハピタスの「秘密の合言葉」に潜む罠。隠された危険性は?

ポイントサイト

ポイントサイトで人気といえばハピタス

これは、クレジットカードなどのポイント対象案件がないこと、広告掲載範囲が非常に広く、アップルストアからビックカメラ、ホテルズドットコムなど、ポイントサイトを利用しているネット関連会社はほとんど網羅しているなどの事実があるからです。

 

もちろん「ポイント比較サイト」などで、個別で見ていくと、ハピタスを上回るポイントを提示してくるサイトも出てきます。

でてきたサイトが、常連サイトならばもちろんポイントが高いサイトを使うのですが、未登録で登録が必要なサイトだったり、ポイントをマイルに移行するルートが複雑だったりすると、多少レートが低くなっても安心して利用できるハピタスを利用するケースも多いです。

 

やはりセキュリティの面や個人情報の観点から、あまり知られていないサイトや、利用率が低そうなサイトに登録することには、躊躇してしまいますよね。

 

そうすると考えるのが、じゃあ「ハピタスは安全で問題ないのか?」

今回はその辺を検証していきたいと思います。

 

個人情報を売却してメリットを得られる業者なんていない。

「個人情報の流出などポイントサイトへの登録が心配」という方もいるかもしれません。ただ、ベネッセの事件でも、数千万件の個人情報の引換られた金額は、たったの数百万円。

育ち盛りでこれから教育費がかかりまくる「個人情報として価値が高い」子どもの個人情報、しかも住所、氏名、年齢などまで含まれているベネッセですらこの値段。

ポイントサイトで「マイルをくれくれ」するおっちゃん達の個人情報。しかも名前と電話番号とメアドと母ちゃんの旧姓とか初恋の人の名前(笑)なんて、わざわざ集めるほどの価値は絶対ありません。

そう考えると150万人を超える会員がいるハピタスがせっかく集めた会員情報を流出させることに何のメリットもありません。

その他のポイントサイトでも同様です。

個人情報流出の多くは悪意のある外部からの不正侵入での流出です。

私が不正利用されたレシポ!でもあの一流企業であり世界的なIT企業であるadobeによる流出が原因でした。

f:id:mairu-de-hawaii:20161126142335j:plain

 

Amazonギフトコードに移行できるポイントサイトは危険が伴う!

実は私は、「レシポ!」で不正ログインにより、貯めていたポイントをAmazonギフトに移行されるという被害にあいました。これは、過去に私が利用していたIDとパスワードの組み合わせを流用していたことが原因です。

あるサイト(私の場合はadobe)から流出し、悪意のあるハッカーなどが、様々なサイトで手当たり次第ログインを繰り返し、「レシポ!」にログイン成功。

侵入者は、レシポ!ポイントをAmazonギフトコードにポイントを移行して、そのまま逃げおおせたのです。

 

 

mairu-de-hawaii.hatenablog.jp

 

私は被害額が「300ポイントほど」と小さかったことと、レシポ!が被害を補てんしてくれたため、大きな影響はなかったのですが、セキュリティに関する恐怖を思い知らされました。

 

実はポイントサイトのリスクで一番大きいのが、「メールアドレス、ID、パスワード」をユーザーが使いまわしていることで発生する不正ログイン被害です。

 

通常、現金に移行するときなどには同名義の口座にしか移行できないため不正ログインしてもメリットが得られません。ただし、Amazonギフトコードは、ログインしたのとは別名義の第三者あてに発行できるシステムです。

そのため、Amazonギフトコードに移行できるサイトは、特に注意が必要です。

被害にあったレシポなどは、まさしくこのシステムが利用されてしまったのです。

 

海外のサービスでは、IDやパスワードの流出事件が頻発しております。また、「ベネッセ」等日本の企業のように流出した時のアナウンスも決して十分ではありません。

まずは、こちらのサイトなどで、流出被害に該当していないかを確認し、もし被害が確認できたら速やかに変更してください。

 

なお、ハピタスは、Amazonギフトに移行できますし、実際にハピタスでも過去には不正ログイン被害がありました。

油断せずに気を付けてください。

 

 

二重認証をしていれば大丈夫?秘密の質問に隠された罠とは?

「でもハピタスは秘密の質問で、さらにセキュリティが高いから大丈夫だよ」

そう、確かに「レシポ!」は、IDとパスワードのみで、ポイントの移行が出来る比較的セキュリティが低いサイトでした。

多くのサイトでは、ポイント移行などの重要な処理に関しては、第2パスワードの要求や、登録したメールアドレスに確認メールを送り認証を求めたりと、本人確認を厳格にしています。

ハピタスでは、秘密の質問を設定して、それに回答することで本人確認としています。しかし、ハピタスの秘密の質問によるセキュリティはそれほど高くありません。

 

ハピタスの「秘密の質問」は、推測可能か?

ハピタスでポイント交換や登録情報変更の際に必要となる「秘密の質問」は次の6つです。

ユーザーは、このうち一つを選んで、その回答を事前に登録しておき、ポイント交換時には、回答を入力して本人確認するというシステムです。

 

①「母親の旧姓」

②「6年生の時の担任の先生」

③「初めて飼ったペットの名前」

④「初恋の人の名前」

⑤「通っていた保育園・幼稚園の名前」

⑥「初めて好きになったアイドル」

です。

 

これらは本人以外にはなかなか知りえない情報であり、さらに6つの質問があるため、第三者が答えにたどりつく可能性は非常に低い、はずなのですが、ハピタスの質問が今一つなのです。

 

例えば、「③初めて飼ったペットの名前」なんて、「3歳くらいに犬を飼っていた」「ウサギもいた」「そういえば鳥もいた」「高校生の時に初めて自分で犬を飼って名前を付けた」なんて言う場合、「どれが最初??」って迷っちゃうんですよね。

 

⑥好きになったアイドルも一緒。中学生のころ「スマップ」を大好きになったけど、「あんた小さいころマッチが大好きだったんだよ」「そのあとwinkにもハマってたわね」と言われると、自分が「スマップはアイドルか?」という疑問や、「初めて好きになったアイドルっていったい誰なんだろう?」なんてどうでもいいことを考えるパラドックスにはまります。

④初恋の人っていうのも「淡い恋心」も含めるのか、「初めての交際相手」にするか、「苗字にするのか名前にするのか」とか悩んじゃうんですよね。しかもそれが降られた相手だったりしたら、ポイント交換のたびに「まい」とか「さちこ」とか入力させられる罰ゲームを毎回やらされる訳なんです。

 

ハピタスは、この「初めてシリーズ」が6つのうち、3つを占めています。でも、小さいころの主観なんて思い出すたびに変わります。

その後、マッチにしたかスマップにしたか分からなる可能性はたかそうです。そんなわけで、実際にものすごく強い思い出がある人以外は、この初めてシリーズの質問と回答に設定するってなかなかできないんじゃないかと思います。

 

そうすると客観的な事実が一番楽です。

「②6年生の時の担任の先生」なんかいいですよね。途中で代わってない限りは一人だから。

でも実際に入力するときに、担任の先生の名前だけだと、漠然としすぎで表記で、今度は迷っちゃう。それでもハピタスは「ひらがな」という指定があるけど姓か名か姓名かわからない。なので「山田太郎先生」だった場合、「やまだ」「たろう」「やまだたろう」「やまちゃん」「やまだせんせい」などなど表記がありすぎです。

 

それでは、「⑤通っていた保育園・幼稚園は?」これはいいかもしれません。

「マイル幼稚園」だったりすれば誰にもわからないし完璧です。

でもね、同じように表記を調べてみるとホントの名前が「学校法人ハワイ学園 マイル幼稚園分園(第2マイル園)」だったりするわけですよ。

でもね、幼稚園の名前なんてみんな通称とか適当に呼んでいるんですよね。「分園」「第2幼稚園」「マイル園」みたいに。

じゃあ、正式名称を調べるかと思って、検索すると、出身の幼稚園なんて今はないケース多数。調べようにも調べようがない。還暦近い親に聞いてもはっきりしないですよ。

これも正解を何にしようって考えちゃう。

 

みんな、設定しがちな母親の旧姓

そうなると、秘密の質問は6つありますが、一番設定しやすいのが母親の旧姓じゃないかと思います。

母親の旧姓は後にも先にも一つだし、表には出ていない。「姓」って指定されていて悩む必要がない。「さとう」ってだけでOK。迷いようがない。

ただ、母親の旧姓って出身地域や、FACEBOOKの友達などから推察できるケースが多いんですよね。なので、パスワードとしてはどうかという意見もありますが、匿名でやっているポイントサイトで、わざわざ本人のFACEBOOK探してなんてやりません。

ほぼ総当たりしてるだけ。なので、追跡されて調べられるケースはほとんどないと思います。

 

問題なのは、苗字って意外と偏っているんですよね。

1位 佐藤 およそ190万人 

2位 鈴木 およそ180万人

3位 高橋 およそ143万人 

4位 田中 およそ135万人 

5位 伊藤 およそ100万人 

6位 渡辺 およそ100万人

7位 山本、8位中村、9位小林が続きます。

そして、秘密の質問への入力機会1日は3回まで。

なので、「佐藤さん、鈴木さん、高橋さん、ご注意ください!」

IDとパスワードで不正アクセスされた場合、ポイント交換されるリスクがあります!

 

4位以降でも、だいたい10位までで、日本人の10%ほどが該当します。

田中さん、伊藤さん、渡辺さん達も、翌日再度チャレンジされるリスクがあります!

 

ただ、サイトによっては、過去に流出したパスワードリストを使った発信元からアクセスがあった場合は、遮断してくれるシステムがあります。実際私は、「楽天」「リクルート」から、「成りすましログインを検知したので、パスワードをリセットした」というメールを受け取ったことがあります。

一方で、レシポ!は複数の人がAmazonギフトに移行されたという話があるように、外部からの侵入に対する備えが十分でなかったことがうかがえます。リクルートの100%子会社ですが、セキュリティは、リクルートほどではない、社内ベンチャーの限界でしょうか?

そして、ハピタスが現在どのようなセキュリティ策を講じているかはわかりませんが、十分に注意が必要です。

 

ハピタスでベストな「秘密の質問は?」

秘密の質問は、質問自体を自分で設定できるサービスもあります。その場合「幼稚園の頃飼っていたウサギの名前」とか、実家の電話番号は?など、答えやすい質問にできるため問題ありません。でもハピタスは上の6つのどれかにしなきゃいけない。

 

じゃあどれにする?ってなりますよね。

正解(なのかは分かりませんが)は、「④初恋の人の名前にして、妻の名前(夫の名前)を入れる」っていうこと。

そして以降、誰に聞かれても「初恋は妻」ってことにしとけば、一生忘れない。

しかも、これだったら万一奥さんに入力を見られても大丈夫。

入れ間違いはないし、苗字か名前かで悩むこともない。

 

そんで、移行のタイミングを忘れた時には、妻(夫)に頼んだりしたらもうその夜は、うっふーんですよ。

っていうことで、今から登録する人は、ぜひこれをどうぞ!

 

っえ?妻がいない?じゃあ母ちゃんの名前でもいれとけ!

 

後から変えられない秘密の質問

「秘密の質問で母親の旧姓にしちゃった!しかも母ちゃん、佐藤だよ!」という方、残念ながらに、秘密の質問の答えは後から変えられません。

まぁ、ハピタスにどうしても変えてほしいと言えば、変えられなくはないかもしれない。でも、そもそもIDとパスワードが流出しいなければ大丈夫。

使いまわしはほんとにやめた方がいい。

現在は流出していなくても、登録すら忘れたサイトから流出したり、今後流出してそれが露見する前に、不正アクセスに利用される可能性もあるから。

さらに大手サイトじゃなければ、流失したことが発表されないケースもあります。

ただ、大手サイトは流出しないかっていうと、私の個人情報が流出したのは、「adobe」と「ベネッセ」です、超大手。

 

なので、IDやパスワードの使いまわしを辞めることが大切。そうは言っても覚えるのが大変ですよね?

おすすめされているのは、いつものパスワードに加えて、最後にサイトの頭文字を入れるというやり方。

いつものパスワード「mairu99」の場合ハピタスなら「mairu99H」、PEXなら「mairu99P」という具合。

使いまわさずに済むし、全部覚える必要もない。とっても楽ちん。

 

まとめ

ポイントサイトの危険性は、ちょっとした工夫で、危険を避けられるケースがほとんど。

確かに、パスワードって、サイトによって字数制限があったり、記号が必須だったと思えば、あっちの際とは記号がNGだったりと大変です。

さらにポイントサイトに一杯登録していると、サイトごとにIDとパスワードを変えるってとってもめんどくさい。

 

でも、実際に私自身が「レシポ!」で被害にあったように、皆さんもあわないとは限りません。一度被害にあうと、ものすごい気分が落ち込みます。泥棒が忍び込んだ家には、鍵を変えても心配なのと一緒。

 

しかしパスワード設定さえきちんとすれば、ハピタスは月間の交換上限が、3万ポイントと定められており、全財産を勝手に交換されるというリスクもありません。そして、ポイント交換時には必ずメールが来ます。

また、交換時に「秘密の質問」を設けており、セキュリティの面からは安心できます。

 

ぜひ、セキュリティに関する項目はもう一度チェックして、楽しいポイントライフをお過ごしください。

 

mairu-de-hawaii.hatenablog.jp

 

 

mairu-de-hawaii.hatenablog.jp