今回は、FacebookやTwitter、そしてLINE等のソーシャルログインの危険性について記事を書きたいと思います。
ソーシャルログイン?
私もこの記事を書くまで、正式な名前を知りませんでした。
むしろ、他のサービスのアカウントで会員登録みたいな、抽象的な名前だと思っていました。
説明するのは画像の方が速いです。
本家サイトのIDではなく、このような情報でログインできるのがソーシャルログインです。
今やポイントサイトだけではなく、私で言えばマイソフトバンクでもYahoo IDでログインできる等、ウェブサイトにおけるたしなみのようになっています。
このソーシャルログイン、ダメな機能じゃないけど、私的にはセキュリティーの観念もあり、現在利用していません。
モチロン便利な機能ではありますので、詳しくは下記詳細を確認の上ご利用下さい。
メリットは色々
私たち利用者のメリットと言えば、IDを一括で利用できるという事ですね。
上記画像は、"げん玉”というお小遣いサイトのものですが、現時点であればFacebookですかね。
FacebookのIDを使えば、大体ソーシャルログインを採用しているお小遣いサイトであれば、Facebookでログインする事ができる為、登録情報を入力する必要が無く、IDとパスワードを覚える必要が無いという事です。
運営会社や企業のメリットを考えると、手軽に利用できる為、会員登録等、利用されやすいという事と、例えばFacebookだったら、ある程度というか、かなりの個人情報を記載している為、ユーザーがどんな方か属性を絞る事ができます。
ユーザーは単純に"分かりやすい"ですよね。
何十個のID、パスワードを覚えるのは困難ですが、1つ位なら覚えていられますよね。
それでは本題のデメリット、危険性についてです。
デメリット(危険性)
ソーシャルログインは、外部サービスを利用してログインするものです。
ログインID・パスワードが流出するか?と言えば、各企業の権限にもよりますが、各ソーシャルメディアを連携する際、自分のアカウントにアクセスする事ができるという事です。
ログインID・パスワードが分かる訳ではありませんが、この状態であれば、"げん玉"を運営する株式会社リアルワールドが、私のFacebookにアクセスする事ができるという事になります。
これに始まり、これに終わるんですよね。
要は、連携したソーシャルメディアで、個人情報をどう入力しているか?です。
ですのでFacebookを連携するという事は、Facebookの特性的に、氏名や交友関係、勤めている企業等、入力した情報によっては相手先はアクセスする事が可能という事になります。
Twitterとかは個人情報がありませんが、ツイートに関しては分かるという事です。
Google+はアカウントを登録する際、名前を入れてないでしょうか?
LINEについては、基本的なユーザー情報を連携する事になり、名前・プロフィール画像・ひとこと・内部的な識別子を連携し、友だち一覧やグループ機能等の絶対に連携しなくねぇと思うようなものは連携されません。
mixiなんかは自分の名前を入力しなくとも利用できますが、個人情報を入力したでしょうか?
要は、(最悪流出したとしても問題のない情報かどうか)確認して連携して下さいという事ですね♪
分かりやすい例としてこの先、"マイナンバーでログイン"なんてもの(出ないでしょうけど)が出たとして、流出した時のダメージは大きいどころか、日本全体の問題となってしまう可能性がありますよね…
相手側の都合による
ソーシャルログインは大手SNSサービス等を利用している場合が多いですよね。
もし…仕様変更等があり、ソーシャルログインのサービス自体が停止された場合、全てのサービスで他のソーシャルログインを利用するか?とか、それともメールアドレスで利用するか?という選択に迫られます。
その時うっかり忘れてしまうと全てが水の泡です。
これは無料ブログと独自ドメインの関係に似ています。相手依存のログイン方法ですので、仕様変更には気をつけて下さい。
普通にID取得のメリット
上記ソーシャルログインは、"げん玉”から全てが始まっています。
げん玉でIDを取得する為には、
- メールアドレス
- ニックネーム
- パスワード
- 生年月日
です。
この情報と、ソーシャルログインの情報を比較します。
IDを取得するとパスワードを変更できる
IDを取得した場合、パスワードを変更する事ができます。
パスワード変更したら忘れてしまうというデメリットがありますが、最近Google Chromeなんかメールアドレスとパスワードを記憶してくれたりしますので、以前よりかは忘れにくくなっています。
セキュリティー的には、自分しか利用しないスマホ・PCなんかが理想的になりますが…
ただ、"げん玉"だけではなく、複数のお小遣いサイトに登録していて、仮にどこかでパスワードが流出してしまった場合、全ての連携サービスにログインできるという事です。
連携サービスが分からない?
Twitterなんか、思いっきり表示されています。
大体流出させた側は、そういった事を私なんかのレベルではない位熟知している訳ですので、致命的なダメージを受ける可能性があります。
その点、仮に稼げている1つのお小遣いサイトでもパスワードを変更、あるいは全てのパスワードを語尾だけ変更とか、少しでも変更していれば、最悪の状況を防ぐことができるという事になります。
数年前私が体験した事ですが、PayPalという決済サービスのパスワードが流出してしまい、ふとメールを見ると1000円ずつ英語のゲームサイトに課金しているという状態になっていました!!
仕事中でしたが、そんなの関係なく即行でPayPalに電話。
なんとか差し止めてもらい、被害を防ぐ事ができました。
思えばあの時でしたね~パスワードは絶対に数字だけにしないようになったのは…
そして私は全て、サービスを利用する時にはパスワードを変更しています。
これは正直、自分の頭の中にある語尾につける数文字を追加しているだけです。
…まあこんな事があり、私はパスワードを変更できる事はメリットだと感じるようになりました。
げん玉IDを取得した場合、最悪個人情報が漏れたとしても、
- メールアドレス
- ニックネーム
- パスワード
- 生年月日
で、個人を特定するのは不可能と言えるレベルで、これだったらメールアドレスを変更してしまえば対応できますが、Facebookだと中々そうはいきませんね…
ソーシャルメディアとどっちが?
極端な例で言うと、Twitterには、詳細なプロフィールを入力する必要が無く、個人情報としてはほぼ必要が無いものですよね。
連携すると、ツイートを確認する事ができます。
だからあえて極端に行きますが、"げん玉"に対するツイートで、
「げん玉!!くせぇ!!くせぇぞ!!!汚物は消毒だ~!!」
みたいなツイートをしていたら、どっちが見られるのが嫌かって事です。
汚物を消毒ツイートが見られるより、普通にFacebookと連携する方がイヤじゃないっすか?
私はそう思いますから、まずFacebookは利用していません。
否定はできない
先程から"げん玉"を例にしていますが、この権限が必要なのはげん玉だけではなく、他のお小遣いサイトでも同様です。
連携が悪いって訳じゃなく、Twitterであれば連携している限り、
- タイムラインのツイートを見る
- フォローしている人を見る、新しくフォローする
- プロフィールを更新する
- ツイートする
という事が"できる"という事です。
ちなみに連携を外すことも簡単、Twitterは難しいですが、アクセス権限を個別に設定する事も可能です。
膨大な会員数がいるお小遣いサイトですが、"目視"に対してはアカウントが分かっている場合、個人情報を見るという事はできるという事です。
…これだけ言っておいて、ソーシャルログイン、別に否定する訳ではありません。
ただ私は、現状この"げん玉"がソーシャルログインして下さいと推奨する訳でもなく、他ジャンルにおいてもソーシャルメディアを推奨するようなものをあまり見かけたことはありません。
あくまでも"他のアカウントでログインできる"という選択肢の1つですので、現状はやはりメールアドレスやパスワードを使い、IDを取得する方がオススメですね。
この記事は、あくまで"げん玉"が核となっているのですが、
に進みます。