企業のセキュリティ対策がまだまだだなあと実感した体験をお話しします “ヤマト運輸 クロネコメンバーズ登録の場合”
ここ数ヶ月のうちに、Web上でユーザ登録した際、メールアドレスを誤って登録してしまったため、私宛にユーザ登録完了の通知だったり、注文の確認メールが届くケースが多発しています。これらのなかには、悪質なものもある一方で、単純にメールアドレスの入力を誤ったがために起こったトラブルもあると思ってはいます。
今回、なぜ、このようなブログ記事を書こうと思ったかと言うと、こういったケースがあまりに多く個人的に迷惑していることに加え、メールアドレスを雑に扱っている企業やWebサービスが多いと実感したため、敢えて企業サイドに警告する意味で公開することにしました。
なお、今回は、一昨日に置きた”ヤマト運輸“の”クロネコメンバーズ“を実例として取り上げますが、こういったケースは世の中に散見されるはずです。もし、このブログ記事を経営に携わる方たちが見たら、是非、ご自身の会社の実情を一度チェックされることを強くオススメします。
事の始まりは、1通のメールから始まりました。このメールは、”クロネコメンバーズ“の登録が完了したことを通知した内容であり、かつ初期パスワードを始めとするユーザ情報を登録するための手続きを開始するリンクが掲載されています。
ですので、このメールに記載の通り手続きを進めると、このように初期パスワードを設定した後、個人情報の設定画面に遷移します。この段階で、セキュリティ対策が最悪のレベルだということが見て取れます。仮に、私が悪意を持った人間であれば、このまま手続きを進め、本人に「なりすまし」をすることが可能です。しかも、実名や住所、電話番号等の極めてクリティカルな個人情報も簡単に閲覧できてしまうかもしれません。
ここで、私が言いたいことは、メールアドレスを悪用された時の企業および個人のリスクを理解していれば、”クロネコメンバーズ“の登録時点で、一旦、入力したメールアドレスが正しいかどうかをチェックするためのメールを登録した人に発信して、記載のURLをクリックさせるべきだと言うことです。この基本的な手順を省くことはあってはならないということです。
今回も、面倒だとは思いつつ、毎回、他人宛のメールが届くのも鬱陶しいので、”ヤマト運輸“のWebサイトで問い合わせをしました。
そうしたところ、以下のような回答がありました。要約すると、この件は本人確認が必要なので、クロネコメンバーズの専用窓口(フリーダイヤル)に連絡してくれという内容です。
これっておかしくないですか?そもそも本人確認を怠っているのは企業サイドなのに、迷惑をかけている私の方から電話をしてくれというのは、全く筋が通りませんよね。事の重要性を理解していれば、企業側から速やかに連絡をしてくるべきです。ちなみに、私自身もクロネコメンバーズですし、先のWebでの問い合わせの際、電話番号とメールアドレスを入力させられました。
それと、メールの差出人の情報はメールに掲載されているのに、クロネコメンバーズの専用窓口(フリーダイヤル)にたらい回しするという判断が全く理解できません。明らかに、セキュリティ案件だという認識がないからだと思います。こういった事案は、今回の場合であれば、サービスセンターの役職者が取り扱うべきだと思います。
このままでは気持ちが悪いので、翌朝、クロネコメンバーズの専用窓口(フリーダイヤル)に連絡しようとした直前に、以下のメールが届きました。
何と!ユーザ登録完了の通知をポスト投函したというメールです。この時点で、私は、その方の実名も知ってしまいましたし、悪意があれば実メールの受け取り先を故意に変更することも可能です。そうすれば、実住所等も分かってしまいます。つまり、企業サイドが自動的に処理した手続きの結果、大切な個人情報が第三者に流出してしまうことになるわけです。
正直、この時点で、私個人のイライラが最高潮に達したところで、クロネコメンバーズの専用窓口(フリーダイヤル)に電話をかけました。(※ なぜイライラしたかと言うと、こんなセキュリティレベルだと、いつ何時、私自身の被害が被るかもしれないと感じたからです。)
専用窓口のオペレーションの女性との電話でのやりとりを要約すると以下の通りになります。
・話の冒頭、「御社のセキュリティに関する問い合わせです」と伝えましたが、専用窓口のオペレーションの女性には何も響かなかった様子した。
・昨日、Webで問い合わせした時の問い合わせ番号を伝えれば、今回の問い合わせ内容を改めて話すところを省けると思ったのですが、問い合わせ番号を言われても分からないとのこと。
逆に、何度も何度も、荷物の追跡番号があれば教えて下さい、という的外れなやりとりを、最初の数分間する羽目になってしまいました。(勿論、怒鳴りましたけど…)
・そもそも本人確認が必要だからという理由で、クロネコメンバーズの専用窓口(フリーダイヤル)に連絡するように言われたのに、 引き継ぎができていないだけではなく、本人確認について一言も言及されませんでした。もしかすると、所謂、丸投げ?しかも、無責任に?
・面倒だとは思いつつ、最初から出来るだけ分かるように説明したつもりでしたが、専用窓口のオペレーションの女性はいまひとつピンとこない雰囲気。やはり、荷物に結びつけたい様子。
結局、部分的に理解できた範囲で、専用窓口のオペレーションの女性が言ったことは、「万が一、再度、メールが届くようであれば、そのメールには見に覚えのない場合の連絡先が書かれているので、そちらに言って下さい。」という何とも逆撫でするようなコメントでした。
・ま、コールセンターの人に言っても仕方ないのかな?と思いつつ、本来はこうあるべきなので、企業としてしっかり善処して下さい!と伝えると、専用窓口のオペレーションの女性は「今回、誤ってメールアドレスを登録できたのは、チェックが甘いサイトで登録したからだと思います。」という言ってはならない一言でした。
個人的には、コールセンターの担当者が理解できていない案件であれば、後方にいる統括担当の人が即対応を変わるぐらいの臨機応変さが必要だと思います。
セキュリティに対する認識が甘い企業って、企業の窓口サービスの体制もいまひとつなのかもしれませんね。
とにかく、このブログ記事を企業の方が読まれたら、是非、早急に自社の状況をしっかりチェックすることをオススメします。そもそも、このようなブログ記事が公開されること事態、企業のブランディングに傷が付くと思います。正直、このブログ記事で、逆に迷惑をかけてしまう当事者さんたちがいると思いますが、こういった事案は、個々の担当者が云々というレベルの話ではなく、会社全体が向いているスタンスそのものがグラついていることが根本的な原因だと思います。強いて言えば、セキュリティ担当役員やカスタマー担当役員が、日頃からしっかり現場をグリップしていないから起きてしまう事案だと思います。くれぐれも個人の担当者を責めないで下さい。責められるべきは経営者層の取り組みの甘さだと思います。その点、誤解のないよう、くれぐれも前向きな対処をお願いします。
ホームページ “THE POOH FILES”にも是非お立ち寄り下さい。
“Adobe Stock“でベストショットな写真素材を販売中です。是非ご覧下さい。
