高木浩光＠自宅の日記

■ VIEW Suicaカード誕生

帰宅してこれを見つけた。

VIEW Suicaカード誕生……は結構なのだが、申し込み画面のドメインが「view-order.jp」と、見慣れないところだ。知らないドメインはニセの可能性があるので、https:// でアクセスしてサーバ証明書の内容を確認するのが消費者がとるべき行動の鉄則だ。

ところがそれをやってみると、証明書の発行対象（サブジェクト）が、「Kyodo Printing Co..Ltd.」となっている。JR東日本じゃないのだ。JR東日本と契約しようとしているのだし、画面には「東日本旅客鉄道株式会社」などと書かれているのにだ。Kyodo Printingというのは聞いたことがない。ニセなのか。Googleで「Kyodo Printing」を検索してみると、www.kyodoprinting.co.jp というサイトが見つかり、共同印刷株式会社のことらしいことがわかる。どうして共同印刷なのか。会社案内の事業案内の「ICカード」のところを見てみると、どうやらVIEW Suicaカードの製造会社なのかなと想像できる。あくまでも想像にすぎないのだが、きっとJR東日本に委託されて契約処理システムを運営しているのだろうと考えて、ようやく信用して申し込むことが可能になる。

もしこのことをJR東日本に問い合わせるとどんな返事が返ってくるだろうか。「www.jreast.co.jp のページからリンクをたどれば本物の画面にたどり着きますのでご安心ください」と言われるのかもしれない。だが、それは、5月11日の日記に書いたように、正しくない。http:// の画面は通信路上で改ざんされている可能性があるので、信用してはいけない。ジャンプ先がJR東日本が意図したのと違うところにすり替えられている可能性がある。ならば、閲覧者が自力でまずhttps://www.jreast.co.jp/... にアクセスして、そこからジャンプすればよいかというと、それもだめ。ジャンプ先が http:// なので、ジャンプした直後にニセサイトにリダイレクトされる危険性がある。ではどうすればよいのか。

1. https://www.jreast.co.jp/... にアクセスして、「こちらからお申し込みください」のリンクのジャンプ先をステータスバーで確認し、「http://view-order.jp/...」であることを記憶する。
2. 「http」を「https」に書き換えて https://view-order.jp/... にアクセスする。

という手順を踏めばよい。こんなことを消費者にやれというのは無理がある。素直に、JR東日本のサーバ証明書で運用すればこんなことにはならないのだが。どうしてもそれができないのなら、JR東日本のVIEW Suica紹介ページ内で、共同印刷に委託していることを説明すればよい。そうすれば、消費者の安全確認手順は次のように簡略化される。

1. https://www.jreast.co.jp/... にアクセスして、共同印刷（Kyodo Printing Co..Ltd.）に委託しているという説明を読む。
2. 普通にリンクをたどって申し込みページに進み、個人情報を入力する画面でサーバ証明書を確認し、「Kyodo Printing Co..Ltd.」と書かれていることを確認する。

これはミスではなく承知の上で行われていることだろうし、誰でも事実とわかることなので隠すことではないし、消費者が警戒しないといけないことなので、日記に書くことをとくに躊躇わない。

■ 非接触ICカード普及センター

共同印刷のページからたどって、非接触ICカード普及センターという組織が立ち上がっていたことを知った。住民基本台帳カードは非接触型が主流になるのだろうか。自治体は住民に次のことをきちんと説明できるのだろうか。

• 何センチ以上離せば意図せず読み取られることがないのか
• 市販のカードリーダで暗証番号なしに他人が読み出せる情報は何か

■ EdyでMy Sony IDにログイン

My Sonyで、EdyカードをPaSoRiにかざすだけでログインできるサービスが始まっている。「やはり来たか」というのが私の思いであった。VAIOノートの次のモデルあたりでFeliCaリーダライタが内蔵されるのだろう。楽しみだ。リーダライタはどのあたりに埋め込まれるのだろう。パームレストの下？ キーボードの下？ はたまた、液晶パネルの裏側か？

ブラウザからカードを読み書きするため、ActiveXコントロールが使われている。とりあえず、[memo:3784] と同じ不都合がある。ActiveXコントロールのこの、「インストールして実行しますか？」というセキュリティ警告のウィンドウは、ユーザにこのソフトウェアを信頼するかを尋ねているものだ。だから、これがどんなソフトウェアであるかを説明するために、この冒頭の部分には、コントロールの名称を表示してその機能を説明するサイトへのリンクを設ける機能が用意されている。信頼とは説明なしに得られるものではない。信頼など得られなくとも動作しさえすればいいのか。それとも単に、signcodeコマンドの基本的な使い方が知られていないのか。

新しくない話題だし、セキュリティホールではないので、日記に書くことをとくに躊躇わない。

■ より安全にご利用いただくため

5月12日の日記の補足。ソニー銀行のパスワードや合言葉の説明が「セキュリティに関するご注意」にあった。

より安全にご利用いただくためのお願い

• 特に、不特定多数のかたがご利用になるパソコンを利用してログインを行った場合には、パスワード等が盗まれる可能性が高くなりますので、速やかにご自宅などのパソコンからパスワード等を変更することをおすすめします。

とある。パスワード変更をその場でやっては変更の意味がないのだから、「自宅のパソコンから」というところがミソだ。つまり、急いで帰宅しないといけない。もしネット送信型キーロガーを仕掛けられていたなら、電気的速度で帰らないといけない。

一般に、「より安全にご利用いただくため」という表現は、文法的には暗に「今も十分に安全だが」ということを意味するはずだが、こういう表現が使われるときというのは、安全じゃないことを認識している場合に限られるはずであるから、この表現を見ただけで直感的に悪寒がはしるのだが、私だけだろうか。

乱数表のない銀行は、ネットカフェでの利用を禁止した方がよいのではなかろうか。ちなみに、イーバンク銀行の「安心してご利用いただくために」には次のように書かれている。


 「なりすまし」や「キーロガー」といった不正行為による被害を回避するために、図書館や学校、インターネットカフェ等、一般に公開されているパソコンや共有のパソコンからのログインはできるだけ避け、ご自分のパソコン、携帯電話よりご利用ください。