パスワードを変更していないのに楽天アカウントにログインできない
はじめに
楽天アカウントの雑記。
楽天アカウントが突然ログインできなくなった方は参考になるかもしれません。
楽天アカウントにログインできない
先日、楽天アカウントにログインしようとしたところ、パスワードが異なるということでログインできなくなりました。
パスワードはブラウザに記録しているので打ち間違えの可能性はなく、パスワードも変更していないためログインできなくなった経緯はわからず。
(※後に判明したので後述しています)
パスワードの初期化
不正アクセスが怖かったので、とりあえずログイン画面の「ユーザID・パスワードを忘れた場合」からパスワードを初期化したところ、ログインできるようになりました。
ログイン後、会員情報管理ページに「ログイン履歴の確認」があったので内容を確認しましたが、不正なアクセスはありませんでした。
ログインできなくなった原因
楽天はメールマガジンが多いため、捨てアドで登録してメールをほとんど確認していなかったのですが、楽天で登録しているメールの件名を流し見していると、以下のメールが届いていました。
XXXXXX様
平素より弊社サービスをご利用いただき、誠にありがとうございます。
本メールは以下のメールアドレスが楽天IDに設定、または紐づいているお客様に送付しております。
[email protected]
楽天グループでは、セキュリティについて様々な取り組みを行っており、
パスワードルールの見直しを順次進めております。
本メールは、パスワードの再設定が必要とされるお客様に対してのご連絡となります。
お客様の楽天IDのパスワードが以下のいずれかもしくは複数に該当するため、
セキュリティ保護の観点から、誠に勝手ながらこちらで初期化を実施させていただきました。
・長期間パスワードを変更されていない
・アルファベットの大文字、小文字、数字、記号など4種類の文字が含まれていない
・8文字以上の文字列を設定されていない
引き続き楽天IDをご利用いただくためには、以下の方法でパスワードを再設定していただきますよう
お願い申し上げます。
<パスワードの再設定方法>
(以下略)
結論としては、楽天が勝手にパスワードを初期化したのが原因でした。
パスワードは複雑なものを使用していたため「長期間パスワードを変更されていない」が引っかかったと思われます。
あとがき
色々なサービスを使用していますが、管理者側に勝手にパスワードを初期化されたケースははじめてでした。
パスワードの定期的な変更についてはNISCが推奨していないので、この仕様は改善してほしい。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2)インターネットの安全・安心ハンドブック Ver 4.20 p.61
https://www.nisc.go.jp/security-site/handbook/index.html