  |
バッカじゃねーのかな。
この仕組みを考えた奴何も考えてねえだろ。
こう言う頭のいいふりしたバカにシステムを作らせてはいけない。
eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。
SMSまたは登録のメールでコードを送ったのでみてね、だそうである。
しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。
https://network.mobile.rakuten.co.jp/faq/detail/00001914/
継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。
は?
ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、部屋の中にメモを書いておいといたと言うようなものである。鍵を開けるための鍵を鍵の中においてどうするのか。
さらに
送信されるメールには15分間有効と記載されていますが、ワンタイムパスワードの有効期限は発行から3分です。
どこを探しても見当たらないので、楽天モバイルのチャットサポートに行った。
例によって延々とFAQを検索しろ、このページを見ろと書かれたページを下までスクロールし、チャットサポートをオープンするリンクを見つけるも、最初はbotに繋がり、botに「SMS認証されてもSMS受診できないんだが」と入れて上記の何も答えになってないページを案内され「満足しねえよ」のボタンをおし、さらに「解決しねえよ」というボタンをおし(ここで満足をおすと解決扱いになってオペレータ接続のボタンが出てこない)ようやく出てきた「オペレータとの連絡を希望」のボタンを押すことで、真のチャットサポートにたどり着いた。
オペレータとの接続を待たされること1時間弱、出てきたオペレータに状況を伝えると、何と特に本人確認もせず「今から30分間だけ二段階認証を解除するのでその間に手続きしてくれ」と言う答えだった。
そして楽天アプリでリロードすると、今度はワンタイムパスワードを入れると言う画面にならずにあっさりと認証が通って、eSIMがあっさり使える様になった。
使える様になったのはいいんだが……あれ?ワイ、今何にも本人である事の証明とかやってないけど!?
ばっかじゃねーの?
ということで
これは一体何なのか。シンプルにいって考えた奴はセキュリティのことを何にも分かってない。セキュリティってのは犯罪から守ると言う意味ではない。完全性・可用性についてもセキュリティだ。これはセキュリティの中に警察だけではなく、消防救急が含まれる事からも明らかだ。
しかし、こいつはセキュリティ強化といって完全性・可用性を捨てた。こんな基本的な事すら分かってないやつが楽天で意思決定してんのか?
そして、仮に乗っ取りなどの対策強化と言う点でも、実際のケースを想定して仕組みを組み立てていないので、多要素認証を真っ当にやるよりも安全性が低下している。
確かに電子メールで多要素認証は、メールは盗聴が簡単であると言う点から考えると不確実性は高い。だが、そこでSMSが使えない時に行われると想定される手続きで、SMSを強制したうえで、重大なセキュリティホールを開けてしまう理由にはならない。
例えば、登録されている電話番号から番号通知ありで電話させて認証するだとか、楽天アプリで認証させるとか、決済情報の一部を入力させるとか、eKYCやマイナカード認証を強いるとか、色々で多様な認証を用意しておき、そのうち利用できるものを複数組み合わせるとか、まともな方法はいくらでもある。
早く是正してくれ。
ガチでやばいな、楽天モバイル。 あと全然関係ない話題をせっかくだから自分語りさせてもらうと、 楽天リンクの広告うざすぎるのやばい。 なんの意味もないと思う。 金払ってるよう...
これ何言ってんの?お前が理解できないからって、システム全体を貶めるのはおかしいだろ。少しは仕組みやセキュリティについて勉強したら?お前の方が「わかってるふりしてるバカ...
他のケータイ屋がやってないならその言い訳も済むけど、そうじゃないしなあ。
サービスを破綻なく作るのって難しいよ。何年もかかるよ。 増田が受けたのも、フローが確立される前の応急処置的な対応だと思うよ。 とはいえ、本人確認なしで開通できちゃうのは...
10
