表記のようなメールがPontaWebの認証を司るリクルートから来て,ログイン履歴を調べてみました.
ログが残っている2024年10月から執拗ではなく,数日に一度 “本人確認” という認証方法でPontaWebにアクセスがかけられています.
アクセス元はいろいろなIPアドレスからですが,hostコマンドで確認するとどれもamazonawsです.
さて,これはPontaポイントを確認するロボットだろうと推定しました.
そういうロボットに心当たりはあります.MoneyTreeです.しかし,Pontaポイントには痛い目に遭ったのでここ数年使用しておらず,MoneyTreeからもアカウントを削除してあります.アカウントを削除してもしばらくアクセスし続けるということは設計上有り得そうです.しかし何年も前に削除したアカウントについてアクセスを続けるというのは感心できません.
さて,Pontaポイントに関するログインアカウントはリクルートに一本化されたのですが,今回の一件で脆弱性が露見しました.
リクルート本体は2段階認証をしていて,まず不正ログインは有り得ません.一方PontaWebに関しては,リクルート本体と同じID/パスワードを使っての認証が普通で,その場合前述のログイン履歴には「ログイン」と示されます.2段階認証の設定はできません.
本体が2段階認証なのに,子どものサイトが1段階の認証だけというのは何とも心もとないです.
それに加えて,PontaWebには「本人確認」という認証方式があります.これは,ななんと,「パスワードのみ入力する認証方式」だそうです.パスワードには他人との一意性はもとめられていないから違うかも知れませんが,リクルートのサイトにはそのような説明があります.
本体が2段階認証でもこれではどうしようもないなあと思った次第です.
ちなみに,前述のメールの勧めに従ってリクルートのサイトのパスワードを変更したところ,以後PontaWebでの「本人確認」によるログインの成功は記録されていません.