ビックカメラがログインIDをメールアドレスへ変更したことについて

先日、ビックカメラは同社の通販サイトである「ビックカメラ.com」のログインIDを会員を自由に設定できていたものからメールアドレスに統一するという変更を行いました。

以下の記事で取り上げられボクも求められたことについてコメントしました。
もう少し言いたいことがあったのでこのブログに書いておこうと思います。

ITpro ビックカメラ、通販のなりすまし対策で会員IDのメアドへの変更を強制

まず、今回の「ビックカメラ.com」の変更点は下記の通りとなります。

① ID設定のルールから自由なものからメールアドレスのみに変更
② 設定できるパスワードの縛りが6文字以上から8文字以上に変更
（厳密には6文字以上から12文字以下から8文字以上12文字以下に変更）
③ パスワードリセットにおいて秘密の質問を追加

③についての挙動についてチェックしましたが、パスワードリセットを行う際に必要な情報としてメールアドレス + 電話番号（会員登録時に必要）の組み合わせを入力すると事前に設定したメールアドレスにパスワードリセットのためのリンクが送られてきます。

そこに記載されているURLにアクセスすると質問が表示され（自身で過去に設定したものが自動で表示されています）、そこに答えを入力し、正しければ新しいパスワードを設定することができる画面へと遷移するというものです。
メールアドレスと電話番号くらいは知人であれば知ることが容易な情報であると考えられますが設定されたメールアカウントが乗っ取られていない限り新しいパスワードを設定することができません。

①と②についてですが
②に関してはパスワードの最低限の長さの強制が6文字以上から8文字以上へと長くなっていますので総当りへの耐性は強固になったと言えるかと思います。（アカウントのロックアウト機能があるかどうかは検証しておりません。）
ただ、利用できる文字種が半角英数字ですので、できれば記号を使えるようにし、12文字の文字長の上限をもう少し長いものにしてほしかったとは思います。こちらは今後に期待することにします。

しかし、①には、条件付きではありますが、この変更によって改悪となってしまうケースがあるのではないかと思っています。

それは、元々、8文字以上のパスワードで他のサイトと同一のパスワードを設定してしまっているユーザと8文字未満から8文字以上のパスワードに設定しなおしたユーザが他のサイトと同一のパスワードを設定しまうというケースです。
このケースに当てはまってしまうと、今回の変更で自由な文字列であったログインIDをメールアドレスに変更することで過去にどこかから漏洩したログインID（メールアドレスの場合が多い）、パスワードを用いた俗に言うリスト型攻撃の被害を受ける可能性が高まってしまう。ということになるかと思います。