会員登録後の折り返しＥメールにパスワードが記載されているのはまずいので

会員登録後の折り返しＥメールにパスワードが記載されているのはまずいのでは。

この前、サントリーの「ほろったー」というウェブサイトにて会員登録をしたところ、
登録したメールアドレスのほうに自動の折り返しメールがきました。
本登録するためのメールです。
URLをクリックして本登録を完了するよくあるメールです。

しかしそこには、
登録したＩＤ(メールアドレス)のほかにパスワードまで記載されていました。
ＩＤのメールアドレスの記載はいいとして、
パスワードが記載されているのはセキュリティ的に問題はないのでしょうか？

メールは単純な自動返信のようで、暗号化されているようには見えません。
これでは第三者がメールを傍受していた場合、
ＩＤとパスワードが筒抜けになってしまい、不正アクセスされてもおかしくありません。
まあ、仮にアクセスされたとして機密情報というわけではないですし、
第三者の傍受というのも多少大げさであることも承知していますが、
これ自身は問題ではないかと思うのです。

この件に関してサントリーのほうに問い合わせましたが、
４日経っても返信がありません。

私の知る範囲では、
会員登録後に折り返しメールにパスワードまで記載しているサイトは
聞いたことがありませんでした。
みな「セキュリティ上、パスワードは記載しません」とあったと思います。

私はこのＩＤとパスワードで他のサイトにもアクセスしているので、
やはりパスワードは早急に変えるほうがいいでしょうか？
それともただの考えすぎなことでしょうか？

よろしくお願いします。

No.1 回答者： koi1234 回答日時： 2010/07/02 03:24

>私の知る範囲では、

>会員登録後に折り返しメールにパスワードまで記載しているサイトは
>聞いたことがありませんでした。
そういうサイトもありますよ
パスワード忘れて確認するとパスワード変更のurlではなくて
直接パスワード送ってくるサイトとか

セキュリティとか気にしているのであれば記載しないとか
一部のみ記載としているところが多いのは確かです

>私はこのＩＤとパスワードで他のサイトにもアクセスしているので、
>やはりパスワードは早急に変えるほうがいいでしょうか？
>それともただの考えすぎなことでしょうか？
ここら辺は難しいところです
神経質すぎるのもどうかとはおもいますが
気になるのであれば変えたほうが良いでしょう
（気になって眠れないとかいうのも困りますから）

この回答へのお礼

返信ありがとうございます。

＞＞＞パスワード忘れて確認するとパスワード変更のurlではなくて
直接パスワード送ってくるサイトとか

そういえばそんなサイトがあったような気がしますね。
考えるよりまずパスワードの変更をすることに決めました。
今後は漏洩覚悟のパスを作っておこうかなと思っています。

お礼日時：2010/07/03 02:40

No.2 ベストアンサー 回答者： cowtstsu 回答日時： 2010/07/02 03:34

パスワードが記載されていることについて、セキュリティーが弱いとしか言いようがありません、

問い合わせても、「問題ありませんがパスワードを変更することをお勧めします」
ぐらいの返事しかもらえないでしょう

確かに、メールの第三者の傍受は可能なので、危険性はあります

この件に関わらず、定期的なパスワードの変更は、これからの時代は常識になると
私は、考えています
心配なら、変更すべきです

この回答へのお礼

返信ありがとうございます。

＞＞＞パスワードが記載されていることについて、セキュリティーが弱いとしか言いようがありません

やはりそうですか。
ご指摘どおり、パスワードの変更をすることにしました。

このサイトへはもう退会を考えています。
ただ、信じられない事に退会の方法もフォームがあるのではなく、
わざわざ、メールを作成してよこしなさいという形なので、
正直このサイトは問題があるだけでなく、利便性まで悪いです。

お礼日時：2010/07/03 02:45

No.3 回答者： violet430 回答日時： 2010/07/02 04:10

パスワードを変えてもまたメールが送られてきたら無意味ですね。

そういうサイトは退会するのが最善ですが、どうしても利用したい場合は、漏洩覚悟のパスワードへ変更するしかないですね。そしてそのパスワードは他では絶対に利用しないことです。

この回答へのお礼

返信ありがとうございます。

非常にわかりやすくシンプルなご指摘助かります。
今回パスワードの変更をすることしました。

このサイトへはもう退会を考えています。
ただ、信じられない事に退会の方法もフォームがあるのではなく、
わざわざ、メールを作成してよこしなさいという形なので、
正直このサイトは問題があるだけでなく、利便性まで悪いです。

お礼日時：2010/07/03 02:47

No.4 回答者： noname#147176 回答日時： 2010/07/02 08:48

〉〉登録したＩＤ(メールアドレス)のほかに

〉〉パスワードまで記載されていました。
これは、つまり、
その
『サントリーのＩＤと、サントリーの仮パスワードとして』
送ってきたのであって、少なくとも、サントリー側は、
まさか、その(あなたの)メールアドレスのパスワード
(も兼用している)とは、想像だにしていなかったのでは?。
もしサントリー側が、あなたのメールアドレスの
パスワードだと分かっていて、メール内に記入して
送っていたとしたら、サントリーのコンプライアンスとして
確かに問題有りとは思いますが。(そうではないような気がします。)

〉〉会員登録後に折り返しメールにパスワードまで記載しているサイトは
〉〉聞いたことがありませんでした。
ということは、仮パスワードはどうやって送られてきます?。
封書か何かで、送ってきます?。
↑確かにそういう(封書で送る)ところもありますが、仮パスワードは、
メールで送ってくることも多いですよ。(つまりサイト側で指定して
仮パスワードを送ってきたりしますので)
その為の仮パスワードです。(この件は全然問題ないと思う)
サントリーのサイトとの本登録のやりとりや、その後の本登録完了
などのメールのやりとりの過程で、きちんと間違いなく
処理されると思いますが。
(念のためですが、本登録後は、仮パスワードを使用したり
しないこと。危険ですので、変更してから通常使用すること)

あと、質問の中で意味が分からないのですが、
〉〉私はこのＩＤとパスワードで他のサイトにもアクセスしているので
どういう意味でしょう?。
普通は、サイトが違えば、当然違うパスワードを使用します。
違うサイト間で、同じパスワードを使った場合、もし、PCが感染
したり、何かで漏れてしまうと、あとは、芋づる式に、すべての
パスワードがあっという間に漏れてしまうことになり大変です。
各サイト間で、すべて違うパスワードに、早く置き換えるべきです。
↑むしろ、こちらの方が重大な問題だと思います。

〉〉メールは単純な自動返信のようで、暗号化されているようには見えません。
銀行系のメールでは、セキュリティ強化して『電子署名』を
添付して、送ってくるところもありますが、(←三菱東京はそうです)
普通の、ちょっとした会員サイトでは、それはないと思います。
わざわざそこまでしなくても、問題は起こらないと思う。

↑ただし、コンプライアンスの低いメールサービスは、絶対に
使用なさらないことです。何しろ、他人にメールを託して、
配送してもらうので、やりようによっては、見放題、見られる
可能性も無いとはいえないような気がします。

この回答へのお礼

返信ありがとうございます。

〉〉メールは単純な自動返信のようで、暗号化されているようには見えません。
銀行系のメールでは、セキュリティ強化して『電子署名』を
添付して、送ってくるところもありますが、(←三菱東京はそうです)

そうなんですか。あまりネットで銀行とのやりとりをしていないので、
勉強になります。ありがとうございます。

＞＞＞普通は、サイトが違えば、当然違うパスワードを使用します。
違うサイト間で、同じパスワードを使った場合、もし、PCが感染
したり、何かで漏れてしまうと、あとは、芋づる式に、すべての
パスワードがあっという間に漏れてしまうことになり大変です。
各サイト間で、すべて違うパスワードに、早く置き換えるべきです。

全くご指摘の通りです。
こういったあまり重要でないサイトへのアクセスでは
同じパスワード使用していましたが、今後改める事にします。

お礼日時：2010/07/03 02:52