クロネコメンバーズの会員登録で積んだ話

ウェブサービス,システム開発

先日、ヤマト運輸に「宅急便をスマホで送る」という新サービスがあることを発見しました

なんでも、あらかじめスマホで送り先なんかの情報を入力しておけば、あとはコンビニや営業店でスマホのQRコードをかざすだけでいいのだとか

正直、発送する際の伝票を書くのはかなり面倒な作業です

それが省かれるのであれば、「こりゃー便利だよ」と利用しようとしたのですが・・・

クロネコメンバーズにログインできず

このサービスを利用するには、クロネコメンバーズに登録する必要があるみたい

クロネコメンバーズには以前、何度か登録していたのでそのアカウントを使えばいいだろうと思っていましたが、ログイン画面で早速行き詰まりました

「・・・クロネコIDってなんだっけ?」

この手のサービスは、だいたいログインIDがメールアドレスと兼用してたりするのですが、どうやらクロネコメンバーズではクロネコIDとメールアドレスは別物の様です

しょうがないので「ID・パスワードを忘れた方はこちら」のリンクからクロネコIDを発行してもらおうとしましたが、そこで第2の問題にぶち当たる事に

登録がないと怒られる

(実際にはちゃんとした内容を入力しているので念の為)

ちなみに、入力したメールアドレスと氏名に間違いがないことは確実です

なぜなら手元に以下の様なメールが残っているから

となると電話番号が間違ってるということになりますが、登録した電話番号は登録完了メールには記載がないのでわかりません

新規登録もできない

どうにもこうにもログインできないので、既存のアカウントを使うのは諦めて新規登録をすることにしました

ところが、前回登録したメールアドレスとは違う、今までクロネコメンバーズには登録してないメールアドレスを使って入力したのに、重複とみなされて新規登録もできません

状況を整理

ここでひとまず、この状況を整理してみます

・クロネコIDがわからないので登録ずみのアカウントにログインできない

・そのクロネコIDが再送信できない

・新規登録もできない

オワタ(積んだ)

北斗の拳のケンシロウ並みに「オワッター」です

積んでいてどうすることもできません

さようならクロネコメンバーズ

さようなら「宅急便をスマホで送る」機能・・・

原因

ラチがあかないので、宅急便は普通に手書きで伝票を書いて送りました

クロネコメンバーズの登録にそこまで興味はありませんし、ヤマト運輸に恨みもありません

けど、いい機会なのでITエンジニアとしてこのクロネコメンバーズのウェブシステムのどこに問題があるのかを究明したくなりました

そこで問い合わせ窓口に連絡し、いろいろなことがわかりました

3件の重複登録

まず、クロネコのシステム側では僕の名前で3件の重複登録があることがわかりました

クロネコID氏名メールアドレス電話番号
1saigo1最後の願いai-n@mail.com080-1234-5678
2saigo2最後の願いdahunda@mail.com080-1234-5678
3saigo3最後の願いtimiha@mail.com080-1234-5678

そのせいで新規登録時にはねられていたのでしょう

しかし、ならなぜ2件目3件目の登録はできたのかが疑問になりますが、最近にシステム変更が行われたのかもしれません

クロネコIDが検索できなかった理由はいまだに不明ですが、おそらくシステム側になんらかのバグが存在してるんだと思います

しかも驚いた事に、登録時に入力したパスワードまで口頭で教えてくれました

教訓

このことからウェブで会員登録を持つサービスはどうあるべきなのかを考えてみました

ログインIDにはメールアドレスも使える様に

別にクロネコIDという項目の存在はいいと思います

システム上、ユーザを識別するのに必要なのでしょう

クロネコメンバーズのウェブシステム最大の問題点は、クロネコIDと呼ばれるログインIDがメールアドレスとは別ものだということです

少なくともログインIDには、クロネコIDとメールアドレスのどちらでも使える様にするべきです

正直ユーザはログインIDやパスワードなんていちいち覚えてません

さらにクロネコIDは登録完了メールに記載した方がいいでしょう

パスワードは問い合わせ窓口で口頭で教えてくれるのに、IDはメールにすら表記されないとか、やってる事があべこべです

パスワードは暗号化する

「そんなこと当たり前だろう」

というエンジニアの声が聞こえてきそうな内容です

今回の件とはあまり関係ありませんが上にも書いた通り、

クロネコメンバーズのシステムはパスワードを暗号化してません

知らない人のために解説すると、普通、パスワードに使う暗号化というのは不可逆(元に戻せない)なので、復元することができません

パスワード入力[abcd]

暗号化[3hsk93]

復号化→×

だからもしもクロネコメンバーズがパスワードを暗号化していたら、電話口でオペレーターさんに

パスワードはアルファベットのa,数字の2・・・」などとハツラツと教えてもらうことは絶対にできません

なのに今回、オペレーターのお姉さんに丁寧に教えてもらうことができてしまいました

以外にも世の中のウェブシステムはパスワードを暗号化してない事が多いんです

忘れた場合の再発行をシンプルに

ユーザ登録型のウェブシステムには必ず「パスワードをお忘れの方」フォームが存在しますよね

クロネコメンバーズでは以下の2つです

パスワードを忘れた場合

入力するパラメータは3つもあり、1個でも間違ってるとシステムにハネられます

  • クロネコID
  • 電話番号
  • 氏名

クロネコIDを忘れた場合

こちらも入力するパラメータは3つ

  • メールアドレス
  • 電話番号
  • 氏名

正直、入力する項目が多すぎる上に1個でも間違えると受け付けてもらえないのでシステムとしては使いずらい印象です

メールアドレスのみでok

この場合、メールアドレスだけ入力する様にして届いたメール本文に再発行用のリンクを貼っておけば十分です

悪用しようとして他人のメールアドレスを入力してもそのメールを確認できるのは基本的に本人だけなので本人であることは担保できます