2003年11月23日
■ 警視庁は東京都にも要請したほうがよいのでは?
2年近く前にこういう報道があった。
- 朝日新聞 2001年12月15日夕刊 「フリーメールの盗み見、続々 パスワード表示機能を悪用」
インターネットのホームページ(HP)上で無料で電子メールを送受信できる「フリーメール」サービスの利用者から、メールをのぞき見されたとの相談が警視庁に相次いでいる。パスワードを忘れても、特定の質問に答えればパスワードが表示される「リマインダー(思い出させ)」機能を利用しているらしい。のぞき見は不正アクセス禁止法違反に当たり、同庁は近く、サービス提供業者にパスワードの再交付方法の見直しを要請する。
「フリーメール」サービスは、主にHPの検索サービス会社が提供している。(略)
リマインダーは、パスワードを忘れた際に使う機能。利用者の母親の旧姓やペットの名前、出生地など、あらかじめ利用者が設定した質問に対する答えをHP上で入力すれば、本人確認ができたとみなし、パスワードを表示する。
警視庁ハイテク犯罪対策総合センターには今年、約30人から「メールをのぞき見されたらしい」という相談が寄せられた。一部は「リマインダーが悪用されているかもしれない」と訴えた。...(略)
同庁ハイテク犯罪対策総合センターは「身近な人なら簡単にパスワードがわかるし、第三者でも質問の設定次第では知り得る仕組みには問題がある。パスワードを本人あてに郵送して知らせるなどの方法に変更してもらわなければ、のぞき見はなくならない」と話している。
- 朝日新聞 2002年2月9日朝刊 「フリーメールのパスワード再交付で業者に「注意」要請 警視庁」
インターネットの「フリーメール」サービスの利用者がパスワードを忘れた際に使う「リマインダー(思い出させ)」機能がコンピューターの不正アクセスに悪用されている問題で、警視庁は8日、インターネット接続業者など26社に対して、同機能を使ったパスワードの再交付をやめるように要請する文書を郵送した。
(後者の記事の「インターネット接続業者に対して」というのは朝日新聞の勘違いだろう。接続業者ではなく、フリーメールのサービス提供業者のはず。)
この記事のことは印象深くよく覚えている。「要請したところで事業者は対応するだろうか?」と疑問に思ったものだ。あれから2年近くが経ち、フリーメール界隈もだいぶ様変わりしているはずだ。フリーメールのパスワードリマインダはその後どうなっただろうか。
カーといえばグー、フリメといえば goo だ。まず goo に行ってみると……
なんと、昔のまんま。ブッたまげぇ。
それにしても、このリマインダーのヌルさは凄まじいね。「4〜10文字以内の半角英数字でお答えください」だって、あなた、ローマ字だったらカナにしてわずか2文字〜5文字程度ですわよ。「出生地はどこですか?」という問いもすごいな。都道府県を入れる人が多いとすると、47通りしかないよ。しかも、「パスワードを表示する」だって。
自分のアカウントで試してみると、こんな感じでパスワードがズバリ出てくる。(「flower」は臨時に付けたダミーパスワード。)
やっぱり警視庁が要請したところで、営利企業はカネでナンボの世界なんだから、社会正義がどうのこうのなんて通じるわけなくてまあ当然だわね。きっと他のところも……と思いきや、
| サイト | 本人確認方法 | 通知・変更方法 |
|---|---|---|
| Club A & A | サポートセンターに問い合わせ | 郵送で回答 |
| Yahoo! | 生年月日と郵便番号 | 新パスワードをメールで通知 |
| Infoseek | 登録メールアドレス | 新パスワードをメールで通知 |
| Excite | 秘密の答え + 生年月日 | 新パスワードを設定できる |
| goo | 秘密の質問選択 + 秘密の答え | 画面に現パスワードを表示 |
なんと、老舗のフリーメールを見てまわると、どこも対策しているではありませんか。
こういう、見ただけで誰の目にも明らかな比較は、誰がやってもよいのだから、雑誌なんかで堂々と比較記事を掲載してもらいたいものだ。「フリーメール、どこが安全?」みたいな記事を。報道も実名を出さずに書いているからこういうことになる。泣くのは被害者。警視庁も実名を出してはどうだろうか。事件の現場がどこだったかというのはあくまでも事実なのだから。
「MYCOMフリーメール」にいたっては、
フリーメールの不正利用が後を絶たず、社会的にも問題になっております。当社としましては以前より、システムの見直し、新規登録の制限、モバイル機能の停止等の対策を講じてまいりましたが根本的な解決には未だに至っておりません。基本的にそのような不正ができない形で皆様に有効活用頂けるようにバージョンアップを検討してまいりましたが、システムの構成上、現時点で抜本的な解決策を見出せないという結論に至り、6月末日を持ちましてサービスを終了させて頂きました。
と、社会正義のため、サービス廃止になっていた。
こんな危ない記事も見つかった。
何とか彼の状況を知る方法はないものだろうか? ──そこで真由子は、とんでもない裏ワザを思いつく。...(略)
でもパスワードなんて知らない。ここからが裏ワザだ。そこにはもしパスワードを忘れてしまったときのために、本人しか答えられないクイズに答えることでパスワードを教えてくれるシステムがある。...(略)
真由子が彼のアドレスを打ち込んでパスワード通知ボタンをクリックすると、そこに現れたのは「出身地はどこですか?」の問い。ドキドキしながら彼から聞いていた東北地方のある県名を入力してみると……。
「クイズ」って、おいおい、この雑誌は不正アクセス禁止法違反行為を奨励するのですか?
で、本題はそういう話ではない。
東京都電子申請システムを見に行ってみると、左側のメニューに「パスワードの再発行」というリンクがある。
行ってみるとこんな画面が出る。
おいおい、「設立記念日」なんて 365通りほどしかないでしょうが。
まあでも、「パスワードの再発行」ということなので、きっとパスワードはメールで送られてくるんだろうから、ぎりぎりこれでもセーフかな……と思いきや、試してみると、
ズガーン、画面にパスワードが出現。どこが「パスワード再発行」じゃ。しかもご丁寧に質問と答えを再び画面に表示するのは何のため? ユニバーサルデザインですか?
このシステムを発注した人はフリーメールユーザなんだろうか。「NTT系の gooだってこういう設計なんだから、うちも付けとこう。」というノリだろうか。
警視庁は「パスワードの再発行機能を悪用した不正アクセスに注意!」という注意喚起を都民に向けて発している。
ここに落とし穴があり、この例では、ペットの名前を知っている第三者であれば、パスワードの再発行機能を悪用してパスワードを入手することが可能となるのです。...(略)
既にパスワードの再発行機能のために登録されている情報が、安易な内容になっている場合は、登録情報の変更やIDの廃止などをお勧めします。
警視庁は東京都の警察なんだから、東京都電子申請システムに対しても2年前と同じ要請をしてもらいたいものだ。
インターネットの「フリーメール」サービスの利用者がパスワードを忘れた際に使う「リマインダー(思い出させ)」機能がコンピューターの不正アクセスに悪用されている問題で、警視庁は8日、インターネット接続業者など26社に対して、同機能を使ったパスワードの再交付をやめるように要請する文書を郵送した。
朝日新聞 2002年2月9日 フリーメールのパスワード再交付で業者に「注意」要請 警視庁
最近でも、こんな事件が起きているようだ。
○○容疑者は、女性が利用していたサイトでIDを知り、パスワードを忘れないために設定する「リマインダー機能」を悪用して、パスワードを割り出していたという。
■ 追記
東京都電子申請汎用受付システムのヘルプに「「利用者IDの申し込み」記入例」というページがあった。そこにはパスワードリマインダ登録の様子が書かれていた。
「尊敬する人は誰? = 母」ですか。だったら、パスワードも「haha」にしたらどうか。
■ ゲームソフト初のセキュリティホール?
- ソニー・コンピュータエンタテインメントジャパン, 「くまうた」ディスク交換のお願い
当ソフトで作成した唄データをPS2からパソコンへ送信される際に添付される唄データ(.enka)はパソコン上で動作する「くまうたビューアー」を使用してお楽しみいただくための専用ファイルです。この唄データをPS2からパソコン上で最初に受信されたお客様がサイト上への掲載・メール転送を行い、その唄データが「くまうたビューアー」を使用されずに、他のお客様によって開かれた場合、最初に受信されたお客様のメールアドレス等の情報が表示されることが判明いたしました。
- GAME Watch, ソニー・コンピュータエンタテインメント PS2「くまうた」ディスク交換を実施 メールアドレス流出の可能性
受信したデータに記録されているメールアドレスは、「くまうたビューアー」で再生した段階でメールアドレスを削除するという。このためソニー・コンピュータエンタテインメントでは、データのインターネット上での配布を一度停止し、現在同サイトからダウンロードすることができる「くまうたビューアー」でデータを再生し、メールアドレスを消去して欲しいとしている。また再生前のデータは廃棄して欲しいとも呼びかけている。
ゲームソフト初のセキュリティホールといったところか。攻撃されるわけではないので脆弱性と呼ぶのは違うかな。
この告知文はわりとよく書けている方だと思う。正確に、過不足なく書かれている。だが、消費者が真っ先に知りたいことは何か。交換に出す価値はあるのか? 交換しないとどういう危険があるか? ということだ。つまり、「メールアドレスなどが漏えいします」ということを冒頭に朱書きすべきだろう。最初の段落の末尾でそれは説明されているのだけれども、どういう場合に起きるかを厳密に書いているがゆえに、平均的な文章読解力を持つ人でないと途中で挫折してしまうのではないか? この文章を読む人の対象年齢は何歳なのか。
あと、「不具合」という言葉をなんとかできないものだろうか。広辞苑によると「欠陥」と同義らしいのだが。
ふ‐ぐあい【不具合】
(製品などの)具合がよくないこと。また、その箇所。多く、製造者の側から、「欠陥」の語を避けていう。
広辞苑第五版
ここはたいへん適切。
※お客様からご提供いただく氏名、住所等の個人情報は、本件のディスク交換のためにのみ、当社が使用させていただきます。尚、上記使用目的が達成され、継続して個人情報を保管する必要がなくなったと判断した時点で、お客様の個人情報を消去いたします。
いずれにせよ、面白そうなので買ってこねば。