<前の日記(2005-06-24) 次の日記(2005-06-26)> 最新

おおいわのこめんと (2005-06-25)


2005-06-25

[Misc] 週末

そして、週末にバテるといういつもの生活……。 なんとかしないとねぇ……。

[Security] カード暗証番号の取り扱いと会員規約

三井住友カード: HPで情報漏えい確認サービス』 (毎日新聞)より。

 米国で起きたクレジットカードの情報漏えい問題で、 三井住友カードは25日、同社のカード会員が情報漏えいの可能性があるカードか、 ホームページで確認できるサービスを始めたと発表した。

まぁこれはいいんだけどさ……。

専用ホームページにアクセスし、会員番号と暗証番号を打ち込むと、対象カードかどうかが表示される。

これってどうよ……。ていうか、なんでもかんでも暗証番号を使い回すのって、 安全性的に愚の骨頂だと思うんですが。 まもなくこのサイトの phishing サイトが出回るんじゃないかなと 危惧したりして。

で、今回のに限らずクレジットカードの暗証番号の利用が非常に怖いのは、 万が一 phishing などで暗証番号が漏れると、 カード規約 第8条の2、

第8条(暗証番号)2.会員は、暗証番号を他人に知られないよう、善良なる 管理者の注意をもって管理するものとします。カード利用にあたり、登録され た暗証番号が使用されたときは、当社に責のある場合を除き、本会員は、その ために生ずる一切の債務について支払いの責を負うものとします。

により、ほぼいっさいの免責抗弁権が失われることにあります。 これって個人的には、安全にクレジットカードを利用する上で 極めて重要な権利であり、銀行のキャッシュカードとの性格を異にしている 本質の権利だと思うので、どうかと思うんですが……。 ちなみにこれは三井住友銀行だけではなくて、大抵のカード会社の規約に 書いてありますので、確認しておきましょう。 ともかく、カードの暗証番号は安易に使うと非常に危険です。 漏れたときのダメージは銀行カードの暗証番号の比ではないので、 くれぐれもうかつなところで入力しないようにしましょう。

むしろ三井住友カードがやるべきだったことは、

対象会員には、郵送で連絡がほぼ完了しているが、

この部分を配達確認書留郵便でやって、「該当者には全員連絡が行ったことを配達記録郵便で確認しました。 現時点で配達記録が届いていない方は、盗まれていません」と、はっきりとユーザが非オンラインな手段で 確認できるようにするべきだったんじゃないかなぁ。 現状の日本の郵政公社メールの書留は、少なくとも現段階ではそこそこ信頼できると考えられるし、 少なくとも信頼できるものとして他のカード事務でも使われていますから。

暗証番号を入力させるのがやむを得ないなら、せめて「専用ページ」とやらを「フォーム画面から」きちんと TLS/SSL で保護してほしいです。銀行のトップページに VPass とかいっていきなりカード番号と 暗証番号の入力フォームがありますけど、ここのページに経路上で動的改竄仕掛けられたら カード番号盗まれちゃうじゃんねぇ。アホかと。 一応送信先は少なくとも私の手元に暗号化なしで届いた内容では https サイトでしたが、あなたの手元に届いたページが改竄されていない保証はありませんぞ。ってか。

私の場合...

そういうわけで、実は僕は自分のクレジットカードの暗証番号、 意図的に記憶から消去してあります。本当に覚えてません(笑)。 これにより「暗証番号が必要です」というサービスが使えなくなりますが、 現状では困ったことがないので……。

ついでに、僕が実際に使っているその他の財産保全策としては、 debit cardの取り扱いもあります。一応監視カメラなどのそれなりの機材が 整備されている銀行窓口・ATMと違って、debit cardを使って一般店頭で 悪人にお金を引き出されてしまうと追跡が極めて困難になるので、 実は僕のメインの銀行口座は、debit card不使用口座を利用しています。 そうは言っても私は住所地の関係上カメラ量販店のヘビーユーザで、 debit cardは非常に便利(クレジットカードだと還元ポイントが下がる)ため 使いたいわけですが、そのために別の銀行口座を用意して、 そこには常時「デビット利用が想定される(お札を常時財布にいれておきたくはない)程度の金額だが、 失われても人生が #a0a0a0 程度までしか暗くならない金額」を入れてあります。 で、定期的にそちらに金額を移動させることで、自前デビット利用上限額を 設定しているわけです。

まぁとにかく今の時代、銀行屋とかクレジット屋とかのセキュリティ感覚って 個人的には信用しきれないので、それなりの防衛策をとることにしています。 いつまで4桁暗証使うんだよ、とかねぇ。

追記 (6/25)

本店さんのコメントに答える形で6/26に追記

[Security] ワンタイム認証プロトコル

で、まぁいまでも暗証4桁入れさせられる場面は非常に多いわけですが、 例えばdebit cardの端末とか、カード利用店店頭の端末とか、 ほんとにどこまで信用していいのかなぁ……、と思うわけです。 噂にはワンタイムパッドになっていて、生の暗証番号は通信していない という説をどこかで聞いた気もしますが、実際のところはわからないし、 そもそもそういう説明すら確認できてないですしね。

で、時々妄想するのは、

  1. 一度の認証で2回以上利用することができなくて、
  2. パスワードを入力する段階で利用金額などがユーザに確認できて、
  3. きちんと認証していることがユーザに確認できて、
  4. 再利用可能な情報が端末から外に流れていないことがユーザに確認できて、
  5. 素人にも動作が理解できる

認証プロトコルがないかなぁと。多分この場合、暗証番号入力用 端末はユーザ側が持っていないといけないと思うのですが、 まぁゴールドカードとかなら年会費1万円くらい取るんだから 会社側で提供できますよね、と。

最大の問題はやっぱり 5. かなぁ……。

[Security] 暗証番号入力パッド

ついでにもう1つ暗証番号ネタ。 銀行でお金を下ろすときにいつも暗証番号を入れるわけですが、 その時にいつも気になるのが、1つは指紋。べたべたタッチパネルに 指紋が残るのは、後で調べると番号がわかっちゃうんじゃないかなぁと。 2つ目は最近タッチパネルになったことで、 やたらと入力キーがでかくなったこと。 これで、腕を動かさずに暗証を入れられなくなったのは結構辛い。 周囲の視線を気にしてしまいます。

で、どうせタッチパネルにするなら、より安全な方法があるんじゃないかなぁと 思うわけですが、1つ参考になるかも知れないのが、 とある電子錠システムの解錠ボタン。 まず待機状態では入力すべき数字が出ていない。特定のキー (LED の部分) を押すと、 [入力待ち] のように10個の数字が出る。 次の回にやっぱり LED の部分を押すと、 [入力待ち2] のように違う場所に数字が出る。 *1 電子錠の場合、常に入力する暗証は一緒なので、こうしないと 特定の場所がすり減ってすぐに番号がばれてしまうから こういう仕組みになっているのだが、これって 銀行の暗証入力の「肩越し盗聴対策」にも多少有効なのではないだろうか。 肩越し盗聴対策の場合は、入力完了ボタン(写真の U)は固定位置の方が いいわけですが。

[Misc] 秋葉原不定点観測

セキュリティーネタ3連発の後は、いつもの(?)デジカメコーナー。

ビル、さらに建つ?

[駅前最後の空き地] 秋葉原ダイビル(高層)・秋葉原プラザビル(飲食)・新秋葉原ビル(献血+代アニ)と 完成して、このブロックに残った最後の空き地にも、いよいよビルが建つようです。 7階建てで店舗・事務所・住宅(?) と、まずは場所柄順当というか、ありがちな内容か。 しかし、隣の新秋葉原ビルも4F〜9Fはまだ空いているようですし、ちょっと供給過剰な気もします。 このビルが完成する時期にはUDXが完成していますから、店舗はともかくオフィス用途は本当に 過剰になりそうな……。

[代アニキター!]で、その新秋葉原ビル。いよいよ来ちゃいました。 この学院にとって秋葉原ってある意味誘惑だらけで最悪な環境だと思うんですが〜。 学生にとっては天国か。

[代ゼミ]で、駅反対側の秋葉原野村ビルの6〜7階には、 同じ代々木でも代々木ゼミナールが進出するらしい。まぁ交通至便な駅ですからねぇ。 代々木とは行き来も楽ですし。

ぼや?

[消防車-1][消防車-2] うちのオフィス、結構秋葉原近辺の街宣車(?) とかの音が聞こえてうるさいんですが、 昨日、いきなりサイレンの音が外でしました。まぁ神田消防署からの出動は いつものことなので、また来たよー、と思っていると、なぜかダイビル前を 線路方向に左折、その直後の交差点を曲がって、駅前広場に入ってきてしまいました。
[見上げる人々][見上げる人々-2] なんか隣の飲食ビル(秋葉原プラザビル)であったみたいですが、 割と騒ぎにならなかったので詳細はわからずじまいでした。

生活感

[流し]週末ですからね、暑くなるこの時期、 ちゃんと洗い物しておかないと月曜日が怖いですから。 はい。

*1 暗いところで撮ってるんで手振れまくりなのはご容赦。

本日のツッコミ(全5件) [メッセージを送る]
本店 (2005-06-26 00:45)

わたしゃ実は数年前にスキミングされてカードを使い込まれそうになったことがありましたが、まあ全額保障もされたしそれ以上は望まんね。
企業の社会的責任云々とかはあるとは思うんだけど結局はat your own riskなわけで、もし今以上のサービスをうけたければもっとセキュリティのしっかりした別の会社のカードを契約するとか、アメックスみたいな会費が高額なカード会社にするとかまあ道はあるわけで。正直今回の事件は起きるべくして起こったとしか良いようがないし、それに対して対処をしてない人のほうもアレだと思うのだがどうだろうか?

通りすがり (2005-06-26 01:01)

新生銀行のATMには、暗証番号を押す際に「Shuffle」ボタンも付いています。

おおいわ (2005-06-26 01:25)

通りすがりさん: ほほう……。それはどっかで確認してみないとダメですね。他の都市銀行のカードでも受け付けてくれるのだろうか。

おおいわ (2005-06-26 01:28)

受け付けてくれそうですね。しかも手数料なしか。これは試してみなければ。
しかし、ATMで写真撮ったら間違いなく連行されるよな(笑)。「取材」は期待しないでください :-)

おおいわ (2005-06-26 01:36)

本店さん: ちょっと論点がずれている気がするのですが…。長くなりそうなんで記事で要点整理しますね。

[TrackBack URL: http://www.oiwa.jp/~yutaka/tdiary/trackback.rb/20050625 (note: TrackBacks are moderated: spams will not be shown.) ]

大岩 寛 (おおいわ ゆたか) <yutaka@oiwa.jp.nospam ... remove .nospam> .

Copyright © 2005-2014 Yutaka OIWA. All rights reserved.
Posted comments and trackbacks are copyrighted by their respective posters.

記事の内容について (Disclaimer / Terms and Conditions)