楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき

　では、楽天モバイルではどのような対応策を案内しているのか。1つ目は、パスワードの使い回しをやめることだ。また、楽天IDはメールアドレス以外にすることも推奨している。これによって、他のサービスで漏えいしてしまったID、パスワードの組み合わせでログインされるのは防ぐことが可能だ。また、万が一ログインされた際に、すぐにそれを察知できるよう、ログイン通知機能の利用も呼びかけている。

　これに加え、楽天ID全体を管理する「my Rakuten」でログイン履歴の確認を行うことが推奨されている。とはいえ、いずれも管理がユーザー任せになっているため、今後も同様の事件が起こる可能性は捨てきれない。多種多様なサービスを利用するにあたり、IDやパスワードを使い回さないのは確かに理想的だが、Webサイトのお知らせで呼びかけたところで、全てのユーザーが変更してくれるわけではない。ログイン履歴を小まめに確認する対策も、手間を考えると現実的とはいえない。

●緩いeSIM再発行の2段階認証、メールアドレスの変更も可能

　一方で、楽天モバイルもeSIMの再発行には、my楽天モバイルへのログイン以上のセキュリティをかけている。当初は、ボタンをクリックしていくだけでできたeSIMプロファイルの再発行だが、現在は、登録したメールあてにワンタイムパスワードが送付される仕様になっており、my楽天モバイルにログインできたからといって、eSIMプロファイルの再発行がすぐにできてしまうわけではない。

　また、登録したメールアドレスを変更する際にも、変更前のメードアドレスに送られたワンタイムパスワードの入力が必要になる。フィッシングなどでメールのアカウントを不正に入手されれば突破されてしまうものの、楽天IDとパスワードが漏えいしただけでは、eSIMプロファイルの再発行はできない……と言いたいところだが、必ずしもそうではないことが分かった。

　実は、メールアドレスの変更は、オペレーターにチャットで依頼してもできてしまう。筆者が試した際に聞かれたのは、氏名や電話番号など、いずれもmy楽天モバイルに記載されている情報。やりとりが終わると、楽天モバイル側から強制的にメールアドレスが変更され、ワンタイムパスワードの入力は省略できた。

　これは、変更前のメールアドレスがサービス停止などで利用できなくなってしまった場合の措置だが、そのように偽ることでeSIMプロファイルの再発行に必要なワンタイムパスワードが送られてくるメールアドレスを変更ができてしまいかねない。