もしも 課金できるサービスで、うっかりメアドを間違えちゃって、たまたま他人に届いたらどうなる？

何かしらのサービスを使う時に、ユーザがはじめに行うのは、大体メールアドレスとpwの設定です。

新規会員登録をする時、メールが届き、本人なのかどうかを確認するパターンと、そのままサービスが使えるようになるパターンが存在します。
たとえばメールを確認する場合だと下記の図のように、メルアドを登録し、サービス側から帰ったきたメールを開いてリンクを踏むことで本人確認を行っているフローになっています。

この場合だったら
もしユーザーがメルアドを間違えて登録してしまった場合、サービス側からメールが届かないのでユーザーがメルアドを間違えたことに気がつくことができます。

メルアドを確認しない場合だと下記のように、サービスから確認を待たずサービスを受けることができます。こういう方針にすることで、メールを確認するという手間がかからず、ユーザービリティの良い体験をすることができます。

しかし、もし登録していたメルアドをうっかり間違えて、しかもそれが他人に届いてしまった場合どうなるのだろう・・・・？？？

下記の図のようにpwを受け取った人が変えることもできるのではないか・・・と考えられます。

今回調査したことは赤い点線部で囲まれた
●間違えてメルアドが届いてしまった人はpwを変更できるのか
●間違えたメルアドで登録してしまった人は、その時ログインできなくなるのか
●間違えてメルアドが届いてしまった人は課金せずに使えてしまうのか

この記事では、Netflixやfuluのようにメールが本人であることを確認せずにサービスが使えるようになっているサービスに着目し、上記を実際にやってみた結果をまとめました。

ちなみにこの調査をしたのはNetflixがiOS課金を辞める前なので、現在の状態とは異なることをご了承ください。

Netflix(web)の事例

(Aさん　青矢印)
web上でうっかり間違えてBさんのメールアドレスで登録
↓
クレカ情報など必要な情報を入力
↓
Netflixのwebのプロダクト画面に移動
↓
サービスが使えるようになる

(Bさん　赤矢印)
Bさんには登録した覚えのないメールが来る
↓
間違って送られたメールからNetflixの画面に遷移する
↓
ログインでお困りですかをクリック
↓
メールアドレスを選択して入力
↓
pw変更のためのメールが届く
↓
パスワードが変更できる
↓
Bさんはネットフリックスを使えるように
クレジットカードを使用したAさんはログインできなくなる

Netflix(アプリ)の事例

Aさん　(青部分)
アプリ上で、うっかり間違えて自分のものではないメールアドレスをNetflixに登録
↓
AppleIDとiTuensで支払い
(これは正しいAさんのメールアドレスが登録されていたとする)
↓
iTuens(Apple)から請求書のメールが届く
↓
サービスを使えるようになる

Bさん (オレンジ部分)
Bさんには登録した覚えのないメールがNetflixから来る
↓
Netflixのアプリをインストール、アプリを起動しヘルプ画面に遷移する
↓
パスワードの更新をクリックするとwebブラウザに遷移する
他人の端末のアプリ上ではメルアドは登録されていないため、Netflixのロゴマークを押し、webサービスのトップページに遷移させる
↓
サポートが必要ですか？ボタンを押し
メールアドレスまたはパスワードの変更画面に遷移
↓
Bさんにパスワードの変更メールが来るのでパスワードを変更する
↓
変更したパスワードでアプリにログインする
↓
Bさんはネットフリックスを使えるように

Aさん(青色部分)
Bさんにパスワードを変更されてしまった状態からスタート

●ログインしたままアプリを起動するとどうなるか
支払いしたAさんの端末でアプリを開く
(何故かpw変更の際すべての端末で再ログインさせるにチェックしたにもかかわらずログインしたままになっている・・なんでだ)

●ログアウトしてみる
ログアウトして契約したAさんが設定したパスワードで認証するが
すでにBさんにパスワードは変更されているためログインできない

○その他確かめたこと
登録しているAppleIDのメルアドと、ネットフリックスに登録しているメルアドが違うがログインできるか？
↓
できた

huluの事例調査

アプリの事例

iOSアプリ内だと新規会員登録ができない
ヘルプの奥深くに二週間無料トライアルのページがあり、そこからHuluのwebページに飛び新規登録ができるようになっている

webの事例

Aさん
アプリで新規会員登録をしようとするもできないのでwebサービスに移動
↓
会員登録時にうっかり間違えてBさんのメールアドレスで登録する
↓
huluのサービスを使えるようになる
(トップページに遷移後一応確認メールは届くがそのまま使える)

Bさん
huluの確認メールが身に覚えがないのに突然届く
↓
huluのwebサービス上でパスワードをお忘れですかをクリック
↓
パスワードリセットのメールが届く
↓
パスワードをリセットして、サービスにログインできるようになる

考察

ユーザーが登録するメルアドを間違えちゃった場合、サービスを提供する側はどうしようもないなと思った。
メールアドレスをうっかり間違えちゃって、知らない人にメールが届いてアカウントが乗っ取られる可能性があるのと、
登録する時にいちいちメールが届いているか、本人かどうかを確認する手順を増やしてユーザー体験を落としてしまう可能性があるの
どっちのほうがいいのだろうか・・・ということを考えさせられる。

そもそも、メールアドレスを打ち間違えちゃって、たまたまそれが誰かが使っていたメールアドレスだったという確率は低そうだけども・・・

どうすれば打ち間違えたことにユーザーは気がつくのか

●強制ログアウトさせる
pwが変更された時に、強制ログアウトさせる機能を作る。
いつも使っているサービスに急にログインできなくなったら不審に思って調査する。この段階でメールが届かないことに気が付きそう。

●アプリ内で登録したメールアドレスにメールが届きませんでしたという通知を出す
できるかは知らないけど・・・
記入したメルアドが存在しなかった場合、メールが帰ってきたということがわかり、間違ったメルアドを記入していることに気が付きそう
ただ、間違えて記入したメルアドが存在していた場合はどうすればいいんだ感がある。

●AppleのiOS課金で使っているメールアドレスをサービスの会員登録時に使ってメルアドの入力間違いを防ぐ
これも出来るかは知らないけど・・・
それぞれのサービスごとにメルアドを記入させるからこういう事故も起こってしまうのではないのかなと思った。