まず、ハッカーと呼ばれる人たちはどうやってハッキング(不正にデジタル情報を盗み取る行為)を行うのでしょうか?
一番ポピュラーな手法は、何らかの手段で入手したメールアドレスのリストに対して一斉に特定の偽サイトに誘導するためのダイレクトメールを送信します。
メール本文内に記載された偽の「お買い得情報」等で偽サイトへ誘導します。
偽サイトは本物とまったく同一に作られているためデジタル知識の少ない方は気が付かずいつも利用しているショッピングサイトだと思い込み“ユーザーID”を入力し、いつもの通りにお買い物をしてしまう訳です。
買ってしまったら後の祭りで、注文した商品が届くことはありません。。
この時点で、ハッカーには個人情報ともいえる「個人ID」が取得されてしまっていますね。正規のショッピングサイトに行けば当然ながら不正入手されたユーザーIDは有効なものなので、後はパスワードさえ入手してしまえば自由にコントロールできてしまいます。
これを防ぐ一つの方法論として、企業側では運営するサービスへお客様のメールアドレスを登録する際にメールアドレスの文字列を正規のものと違った形でデータベースに記録しユーザーIDに紐づけ保持します。
例えばこんな感じで…
正規のメールアドレス:
nyankomatsuri_0214@gmail.com
データベースに記録するメールアドレス:
nfannoawtsuri_0254@gmail.com
※俗に言う暗号化された状態に近い文字列となります。
こうしてデータベースに記録、保護することにより万が一データベースからメルアドのリストが漏えいしても正規のアドレスとは異なるため、実質の被害は発生しませんね。
次に、ユーザーがログインする場合の手順となり、ひと手間増えてしまいますがショッピングサイトにログインする時にユーザーIDのみを入力すると予め登録しておいたメールアドレス宛にログイン用の専用URLが通知されますので、このURLをクリックすることによりマイページの画面にアクセスすることが可能になります。
お分かりでしょうか?
登録されたメールの受信は本人しかできないため、暗号化されたメールアドレスを正常な文字列に戻しログインURLを安全に通知することが可能となります。
シンプル且つセキュリティ強度の高い方式ですので、何らかのサイトを運営されている方の対策の参考になれば幸いです。
♂ELAMICA