新規会員登録時におけるメールアドレス確認の観察　~Netflixとhuluの事例~

はじめに

何かしらのサービスを使う時に、ユーザがはじめに行うのは、大体メールアドレスとpwの設定です。新規会員登録をする時、メールが届くか、本人なのかどうかを確認するパターンと、そのままサービスが使えるようになるパターンが存在します。
メルアドを確認しない場合、本人確認はどうするのか気になったので調査しました。

調査概要

新しくサービスを使う場合、大まかな登録の流れとしては

サインイン画面でメールアドレスとpwを登録
↓
自分のメールボックスにメールが届いていることを確認
↓
届いたメールの中に、このメールアドレスで確認したら
このリンクを踏んでくださいという記述がある
↓
リンクを踏んで自分が登録したユーザである、
メールアドレスの持ち主であることを確認する。

だいたいこのような流れになると思います。
上記のようにメールが本人のものであるということを確認できていれば、安心して課金サービスを使うことができます。
しかし、世の中には上記のように、メールが本人であることを確認せずにサービスが使えるようになっている事例が存在します。

この記事では、Netflixやfuluのようにメールが本人であることを確認せずにサービスが使えるようになっているサービスに着目し、下記を実際にやってみた結果をまとめています、

メールをうっかり間違って登録してしまい
+
その間違ってしまったメールが他のユーザーに届いて
＋
pwを変更してしまった場合どうなるのだろう？

ちなみにこの調査をしたのはNetflixがiOS課金を辞める前なので、現在の状態とは異なることをご了承ください。

Netflix(web)の事例

Aさん: 登録したユーザー
Bさん: Aさんがうっかり間違えて入力したメールの持ち主

(Aさん　青矢印)
web上でうっかり間違えてBさんのメールアドレスで登録
↓
クレカ情報など必要な情報を入力
↓
Netflixのwebのプロダクト画面に移動
↓
サービスが使えるようになる

(Bさん　赤矢印)
Bさんには登録した覚えのないメールが来る
↓
間違って送られたメールからNetflixの画面に遷移する
↓
ログインでお困りですかをクリック
↓
メールアドレスを選択して入力
↓
pw変更のためのメールが届く
↓
パスワードが変更できる
↓
Bさんはネットフリックスを使えるように
クレジットカードを使用したAさんはログインできなくなる

Netflix(アプリ)

Aさん: 登録したユーザー
Bさん: Aさんがうっかり間違えて入力したメールの持ち主

Aさん　(青部分)
アプリ上で、うっかり間違えて自分のものではないメールアドレスをNetflixに登録
↓
AppleIDとiTuensで支払い
(これは正しいAさんのメールアドレスが登録されていたとする)
↓
iTuens(Apple)から請求書のメールが届く
↓
サービスを使えるようになる

Bさん (オレンジ部分)
Bさんには登録した覚えのないメールがNetflixから来る
↓
Netflixのアプリをインストール、アプリを起動しヘルプ画面に遷移する
↓
パスワードの更新をクリックするとwebブラウザに遷移する
他人の端末のアプリ上ではメルアドは登録されていないため、Netflixのロゴマークを押し、webサービスのトップページに遷移させる
↓
サポートが必要ですか？ボタンを押し
メールアドレスまたはパスワードの変更画面に遷移
↓
Bさんにパスワードの変更メールが来るのでパスワードを変更する
↓
変更したパスワードでアプリにログインする
↓
Bさんはネットフリックスを使えるように

Aさん(青色部分)
Bさんにパスワードを変更されてしまった状態からスタート

●ログインしたままアプリを起動するとどうなるか
支払いしたAさんの端末でアプリを開く
(何故かpw変更の際すべての端末で再ログインさせるにチェックしたにもかかわらずログインしたままになっている・・なんでだ)

●ログアウトしてみる
ログアウトして契約したAさんが設定したパスワードで認証するが
すでにBさんにパスワードは変更されているためログインできない

○その他確かめたこと
登録しているAppleIDのメルアドと、ネットフリックスに登録しているメルアドが違うがログインできるか
↓
できた

huluの事例調査

Aさん: 登録したユーザー
Bさん: Aさんがうっかり間違えて入力したメールの持ち主

アプリ
iOSアプリ内だと新規会員登録ができない
ヘルプの奥深くに二週間無料トライアルのページがあり、そこからHuluのwebページに飛び新規登録ができるようになっている

web

Aさん
アプリで新規会員登録をしようとするもできないのでwebサービスに移動
↓
会員登録時にうっかり間違えてBさんのメールアドレスで登録する
↓
huluのサービスを使えるようになる
(トップページに遷移後一応確認メールは届くがそのまま使える)

Bさん
huluの確認メールが身に覚えがないのに突然届く
↓
huluのwebサービス上でパスワードをお忘れですかをクリック
↓
パスワードリセットのメールが届く
↓
パスワードをリセットして、サービスにログインできるようになる

考察

ユーザーが登録するメルアドを間違えちゃった場合、サービスを提供する側はどうしようもないなと思った。
メールアドレスをうっかり間違えちゃって、知らない人にメールが届いてアカウントが乗っ取られる可能性があるのと、
登録する時にいちいちメールが届いているか、本人かどうかを確認する手順を増やしてユーザー体験を落としてしまう可能性があるの
どっちのほうがいいのだろうか・・・ということを考えさせられる。

そもそも、メールアドレスを打ち間違えちゃって、たまたまそれが誰かが使っていたメールアドレスだったという確率は低そうだけども・・・

どうすれば打ち間違えたことにユーザーは気がつくのか

●強制ログアウトさせる
pwが変更された時に、強制ログアウトさせる機能を作る。
いつも使っているサービスに急にログインできなくなったら不審に思って調査する。この段階でメールが届かないことに気が付きそう。

●アプリ内で登録したメールアドレスにメールが届きませんでしたという通知を出す
できるかは知らないけど・・・
記入したメルアドが存在しなかった場合、メールが帰ってきたということがわかり、間違ったメルアドを記入していることに気が付きそう
ただ、間違えて記入したメルアドが存在していた場合はどうすればいいんだ感がある。

●AppleのiOS課金で使っているメールアドレスをサービスの会員登録時に使ってメルアドの入力間違いを防ぐ
これも出来るかは知らないけど・・・
それぞれのサービスごとにメルアドを記入させるからこういう事故も起こってしまうのではないのかなと思った。