誤ったパスワードの入力で他人のIDをロックさせチケットをゲットする技にファン衝撃【やじうまWatch】 - INTERNET Watch https://internet.watch.impress.co.jp/docs/yajiuma/1168355.html チケット申し込み時に申し込み数を減らす為こんな酷いイタズラをしている輩がいるらしい「怖い、酷い、最低」 - Togetter https://togetter.com/li/1316142

数回パスワード間違えてログインしようとすると一定時間ログインをロックする仕組みってよくありますが、これを悪用して他人のアカウントをロックしているという話。 ログインの仕組み考えるうえで考慮に入れたほうがいいかもしれない。 ログインセキュリティ周りの新しいチェックポイントになりそう。

期間指定（特に先着順）で何か申込みを受け付けるようなシステムだと考慮は必須。 アカウントID自体も固有のIDを生成したものにするか（メールアドレスとか連番とかにしない）、ロックする以外の別の仕組みを設けるか。

特に昨今だとボットやRPAが簡単に導入できるので広まってきてて、こういったいたずらを広範に仕掛けることが誰でもできるようになってきているので。 ロックしないというのも総当たりを許可してしまうことになるし、難しい。

アカウントID自体もプライバシーのあるものにする、というのがとりあえずの対処になりそう。 ただそうすると、アカウントIDを忘れてしまったユーザーに対して1ステップ面倒をかけることになるのだけど。