<前の日記(2005-06-25) 次の日記(2005-06-27)> 最新

おおいわのこめんと (2005-06-26)


2005-06-26

[Security] Re: カード暗証番号の取り扱いと会員規約

6/25 の記事の追記。当該記事とかなり重複しています。

今回の記事の論点は、漏洩事件そのものに対するものではありません。 今回の大規模漏洩事件は計算機セキュリティ屋としては正直アホかと思いますし、 一方で「まぁ裏方のシステムの実体なんてこんなもんだろ orz」という気もします。 ここまで話題が大きくなってしまえば、カード会社側も(契約上の保障の有無に関わらず) 迅速に対処するでしょうし、使い込まれたお金も問題なく帰ってくるでしょうから、 金銭的被害の心配はほとんどないと考えられます。 僕の半径数十mを見ても、結構スキミング系の被害にあっている人はいて、 ちゃんと明細は見ようね、とか、そんなレベルの話をきちんとできない人は at your own risk だと思うのです。その点は全く同意。

ただ、一般に利用者から見たクレジットカードのセキュリティ(あるいは想定リスク)は、 「不正利用があってもちゃんと手続きすれば保障で返ってくる」という点にかなり依存していると 考えられます。そうじゃなきゃ、スキミングのことを考えたら、 海外の店頭でホイホイとカード渡したり、 インターネットの買い物で安易に番号打ち込んだりとてもできません。 本店さんのケースは、まさにこの保障で返ってきたケースなのですよね。

しかし、最近クレジットカードでは「安心のため」と称して暗証番号の 導入が進められていますが、一方でこっそり規約に「保障しませんよー」と 書いてあるわけで、これはリスク想定を根本からやり直さなきゃいけない 話だと考えられるのです。要するに、カード番号と違って、暗証番号は 絶対にカード会社以外の取引相手に渡してはいけない(*)情報なのですが、 この点の理解はほとんどされていないのではないかと。 少なくとも僕の周りでこの条項の存在に気付いていなかった人は確実にいます。

(*) の点で、じゃぁ実際自動券売機とかで打ち込まされるのは どうなんだよ、という話になるんですが、一応あの手のシステムは さすがに生の暗証番号が販売店側の決済システムを通過しないように なっていると信じたいんですが、確証はないですよねぇ……。

個人的にはやっぱり当該規約は見直すべきだと思いますね。 保障がないなら現金とかTCの方がマシだよ、と考えます。 問題は、最近どんどん勝手にICチップ付きのカードに 置き換えられていきつつあることで、どうしたものかなぁと。

「IC チップは内部で認証しますから安全です」と主張したところで、暗証番号を打ち込む パッド自体に細工されれば、どうしようもないです。 あとは、「通常の磁気ストリップ + 暗証番号」を使うサイトで お金引き出しまくりなわけで、正直怖いです。 ICカードの場合、暗証番号 (とIC チップ) の利用は店頭で拒否できるのだろうか。 それともチップに100Vかけて破壊しとくか?

で、そんな現状を憂いていた矢先にネタが飛び込んできた 今回の記事の話は、そんな暗証番号を安易に Web でホイホイと打ち込ませても いいのかよ、という話です。phishing がこれだけ蔓延している中で、 カード会社自らそんなことを推奨するのもどうかと思いますし、 よく見ると入力フォームの送信先情報は暗号化されてなかったりするわけです。 「セキュリティの基本はユーザ教育である」という立場に立ったとき、あるいは 今後この手のフォームを使わなければならなくなったときの事を考えると、 見逃せないなぁ、と思ったわけです。

最後に、この手のカード会社のセキュリティとかは、ユーザ側に 選択の余地となる情報はほとんどないので、なにもかも自己責任でやれ、 ってのはちょっとムチャな気がします。 そりゃ超怪しい会社との提携カードとかなら、 その提携元からの流出のリスクは考えられますけど、 VISA と Master と DC と JCB のどれが安全かなんて、とても 運以外の自己責任で選択するのは不可能でしょう。

[Misc] F1総括……延期(ぉぃ

この週末のうちに先週末のF1のひどい顛末の総括を書こうと思ったのですが、 信濃町のビアガーデンでいい感じに酔っぱらってしまったので、 書けなさそうです(ぉぃ

いつもはさらっと立ち読みして済ましていたF1速報を初めて 買ってきたのですが、おおむね妥当(というか、自分の意見に近い)かな。 トヨタがやっぱり本番走れないの見越してポール取りに来てたのが 明かされてしまってますから、その点でもやっぱり妥協しなかったのが正解、 という話になっちゃうしなぁ。

ま、そういうわけで、しばらくお待ちください。まぁ書きたいことは 大体レース前後に急いで書いた内容からあまり変わってないです。 書き足すとすれば

ポール・ストッダード 最低 orz

くらいですかね。あそこまで口だけ男だとは……。

フェラーリは今回正当に18ポイント持っていく権利はあるし、 ジョーダンも正当に11ポイント持っていく(まぁここのチームはミナルディと競争だけど) 権利はある。 それを否定してしまったら何のためにレースしてるのかわからない。 逆に言えば、それが妥当な形で保証されていれば、何らかの救済措置が あってもよかったし、できるならやるべきだった。(けど、いい案は思いつかない。 *1) でも、ポールはさんざんごねて、何故かBSタイヤなのにボイコット側についた。 で、いつものでかい声でFIA批判やらフェラーリ批判やら山ほど。

これだけならまだ観客のため、と許せないこともないのだが、 正当な権利を行使するためにジョーダンが出走した途端に 「裏切り者」と罵って (ここまでなら良いし、それでもボイコットするなら立派)、 自分達も7ポイントのために出走した(唖然…………)。 出走するなら最初からつべこべ言わず出走しろよ……。 結局のところ、「ジョーダンがボイコットするらしいから自分もポイント的に不利にならないから、 ボイコット側でアンチFIAっぽく見せておいた方がいいや」っていう日和見根性なんでしょうね。 フェラーリの18ポイントは尊重しなかったけど、自分達の7ポイントは大切だったって事ですね。 実質最下位のチーム率いて口だけでかいってのがまた何とも……。

ちなみに、ドライバーには責任ないと思っていますので、 アルバース・フリーザッハー両者の今季初ポイントは素直に祝福しております。

今回ジョーダンの「裏切り」もまぁ見事ではありましたが、 こちらは出走自体は正当な権利行使で妥当だと思ってます。モンテイロ3位初表彰台、 カーティケヤン4位、インド人初ポイント、おめでとう。 実際の表彰台でもモンテイロの表彰の時は拍手喝采だったそうで、 それだけがなにより。その辺のバランス感覚はアメリカ人の割といいところですね。 まぁ本来はフェラーリも責められる理由は何もないんで、その辺りシューマッハ・バリチェロの両者は気の毒ですが。

*1 結構今回の件、「観客を見捨てたFIAが悪い」ってジャーナリスト多いんですけど、 じゃぁちゃんとBS側に不利にならない解を彼らは提供できたのか、極めて疑問です。 そりゃできるなら20台出走がいいのは当たり前で、それを FIA も一回も否定していないと思う。 BSに不利にならないように公平にそれをできるのか、ってのが問題ですから。

本日のツッコミ(全1件) [メッセージを送る]
本店 (2005-06-27 16:40)

なるほど、納得。規約はもう一度読み直したほうが良いね。

[TrackBack URL: http://www.oiwa.jp/~yutaka/tdiary/trackback.rb/20050626 (note: TrackBacks are moderated: spams will not be shown.) ]

大岩 寛 (おおいわ ゆたか) <yutaka@oiwa.jp.nospam ... remove .nospam> .

Copyright © 2005-2014 Yutaka OIWA. All rights reserved.
Posted comments and trackbacks are copyrighted by their respective posters.

記事の内容について (Disclaimer / Terms and Conditions)