オークションIDが窃用された場合の本人への効果帰属について

ネットオークションにおいてIDパスワードが何者かに窃用され架空出品がなされたとします。その結果、その事実について善意の落札者がこれを落札して代金を騙し取られました。IDパスワードが盗まれたことについて本人の帰責性はないものとします。この場合、IDを窃用された本人と善意の落札者との法的関係はどのようになるでしょうか。 これにつき、両者に本人確認の方法について事前合意があった場合は、犯人がその合意された方法を利用した場合には、仮に無権限者による行為であったとしても本人に効果が帰属するものと解釈されています。ネットオークションの例ではありませんが、判例では代理人が直接本人の名で権限外の行為を行い、その相手方がその行為を本人自身の行為と信じた場合について基本代理権を認定した上で表見代理の規定の類推適用を認めています。そしてこの場合は、なりすまされた本人が善意の相手方に対して契約の履行義務を負うことになります。 ただ、ネットオークションは通常は個々の取引相手とは1回限りの取引であることが普通なので、その当事者間で本人確認の方法について事前合意があることはありません。そのように考えれば犯人の行為は単なる無権代理なので本人には何の効果も帰属しないわけですが、たとえ出品者と落札者との間で個別に本人確認の方法についての事前合意がなかったとしても、ネットオークションに参加する上では当然にIDとパスワードで本人確認を行っているため、もしかすると、双方が同一のネットオークション利用者であるということで実質的には両者に事前合意があったと扱われるのではないかという疑問があります。 この点について判例もなく電子商取引に関する準則にも見解が示されていないため、オークションIDが窃用された場合の本人への効果帰属についてどのように解釈すべきかをご教示願いませんでしょうか。