ビックカメラは2015年6月19日、同社の通販サイト「ビックカメラ.com」において、商品を購入するときに必要な会員登録のID(会員ID)を、メールアドレスに変更するよう既存会員に通知した(写真1)。ビックカメラ.comは元々、顧客が会員IDを自由に設定できるようにしていたが、5月以降に登録した会員はメールアドレスの使用を強制していた。ビックカメラ.comは現在、メールアドレス以外の会員IDではログインできなくなっている。同社は、「顧客が独自のIDを管理する負担を減らして、他サイトと違うパスワードを設定してもらうために行った」(広報部)と説明する。
なりすまし防止が目的なら、第三者に知られる可能性が高いメールアドレスより、顧客が設定した文字列のほうが安全だ。しかし昨今、ユーザー設定のIDとパスワードがあるサイトから漏洩し、それを使って別のサイトで不正ログインされる攻撃が急増している。ユーザーがIDとパスワードを複数のサイトで使い回すことによって、なりすましが成功する。このためユーザーは、IDとパスワードをサイトごとに別々に設定するのが望ましい。コンピュータセキュリティの専門家で、ソフトバンク・テクノロジーでシニアセキュリティエバンジェリストを務める辻 伸弘氏は、「メールアドレスをIDにするのは慣習。ユーザーの管理負担を軽減する方法として、別の大手サイトでも採用している」と指摘する。
なお今回のビックカメラ.comのシステム変更では、ID設定のルール変更以外にもセキュリティ対策の変更がある。パスワードの長さを6文字以上から8文字以上に変更したり、メールによるパスワード通知の手続きなどに必要な「秘密の質問」を追加したりした(写真2)。