Magentoの顧客アカウントの安全性を高めるためのエクステンションとして、「」をリリースしました。
このエクステンションは、顧客のアカウントに対して、所定回数以上のログイン失敗があった場合に、該当アカウントをロックする機能をMagentoに追加します。

Magentoには不正ログインを防止する仕組みがない

Magentoには不正ログインを防止する仕組みがありません。
Enterprise Editionには管理者アカウントに対する不正アクセス防止措置として、ロックアウト機構が備わっているのですが、Community Editionはすべてサードパーティのエクステンションに委ねられているため、標準機能としては用意されていません。

そのため、どちらのアカウントに対してもCommunity Editionにおいては無限回の不正ログインを試みることができてしまいます。
ログイン情報が一致してログインに成功するかどうかは確率論の話になりますが、運が悪ければログインできてしまう、ということが実際に起きる可能性はあります。

管理画面はアクセス制御が可能

Magentoには初期バージョンから、管理画面URLを公開画面URLと別にする仕組みが備わっています。
この機能を利用し、アクセスできるネットワーク環境を制限することで、管理画面においては関係者外アクセス禁止とすることができます。

ただ、組織内での不正行為はこれでも防げないのですが、それは組織内ネットワークの監査を厳格にすることによって、ある程度は防ぐことができるでしょう。

顧客アカウントの安全性を守る必要性

昨今のECサイトでは、以下のような機能を提供しているケースがよく見られます。

  • 購入履歴の保存
  • クレジットカード番号の保存(決済ゲートウェイ側で) 

購入履歴は趣味・嗜好などの分析にしか使えませんが、クレジットカード番号を保存していた場合は不正ログインが起きると事態は深刻になる可能性があります。

クレジットカード番号を決済ゲートウェイ側に保存していると、クレジットカード番号を入力しなくても購入ができる事があります。
このような場合、例えば登録しているメールアドレスを勝手に変更されたうえに、商品を購入されて知らない住所に配送されることや、購入した覚えのない商品が自宅に届くといった事態が発生する可能性があります。

クレジットカードの不正利用の場合、正規のカード利用者は不正利用だと届け出ることで意図しない支払いを避ける事ができます。しかし、加盟店に対してはカード会社からの不正利用に関する請求が行われる可能性があります。

通常の取引の範囲で、盗難カードが使用されることはあり得ると思いますが、自サイトで起きた場合は信用の低下につながりますので、このような事態になることを可能な限り避けなければいけません。

そんな時に、「」をインストールしておけば、既定回数でブロックできるため、不正利用のリスクを下げることができます。

利便性とのバランス

反面、このエクステンションを入れたことによって、パスワード間違いによるアカウントロックや、第三者による不正アクセスによって、アカウントロックされてしまう顧客が出てくる可能性が高くなります。

これは致し方がないことではあるのですが、サイト全体の利便性としては幾ばくかの低下をまねきます。
ですが、ネットバンキングやオンライン証券などのサイトではかなり前から類似の機能が提供されているため、利用規約などに記載することによって、ある程度はトラブルを未然に防ぐことができるのではないかと思います。
(もちろん、ログイン画面に最初から案内を書いておくことも必要でしょう)