というニュースを読んだ。当事者の発表文には次のように書かれている。
弊社が本年1月に行った保険商品のダイレクトメール(DM)用に抽出した自社プロパーカード会員99,789名分のファイルの中に4名の会員様の情報が集中していることが明らかになり、当該ファイルから情報流出した可能性が高いことが判明いたしました。
流出した可能性のある情報は、お名前・郵便番号・住所・電話番号・性別・生年月日・カード番号の7項目であり、それ以外の情報は一切含まれておりません。なお、データ抽出からDM作成の間にはMO(光磁気ディスク)を媒体として使用し、
(略)
(当該MOはDM委託会社より期日どおり返却されております。)
ダイレクトメール発送のために委託会社に渡すMOディスクとして抽出したファイルとのことだが、そのファイルに、クレジットカード番号も含まれていたと読める。ダイレクトメールの発送にクレジットカード番号が必要なのだろうか?
「それ以外の情報は一切含まれておりません」とのことなので、有効期限は含まれていないのだろう。データベースを丸ごと渡したわけではないということか。だとするとなおさら、カード番号まで抽出した目的がわからない。
もしかして、会員管理のキーとして使う会員番号としてのカード番号なのだろうか。
そういえば、そもそもクレジットカード番号とは、クレジットカード会員の「会員番号」そのものだ。
クレジットカードの歴史を手繰ると、1920年代にアメリカの石油会社が始めたガソリン購入用カードが起源だという。ローカルなサービスにおいて、会員番号をキーにして、付けで買うためのシステムだったのだろう。そういうシステムを、そのまま店舗をまたがった汎用カードにしてしまうという大胆さがすごいが、コンピュータの未発達な時代では、それでもそこそこ安全だったのだろう。
そういうローテクなシステムを、「カード番号は秘密にすべき情報」という暗黙のルールの下でどうにかこれまでまわしてきたわけだ。もちろん、そういう危ういシステムをこの時代になっても使い続けるのは、カード会社が覚悟の上でやっていることなのだから、それはそれでけっこうだ。万が一のときにどうにかしてくれれるならば、利用者としてはそれでかまわない。
だが、そういう状況であるのなら、名簿管理のための裏会員番号を用意してもよいのではなかろうか。ダイレクトメール発送会社に渡す名簿のキーには裏会員番号を使うべきである。そういうことは当然行われているものと直感していたが、そうではなかったということだろうか。いまどきのコンピュータシステムであれば、裏番号と会員番号との対応付けなど朝飯前のはずなのだが。
ところで、電話番号・性別・生年月日も漏れたとのことだが、ダイレクトメール発送にどう使われているのかよくわからない。
ちなみに、「一切含まれておりません」という表現は、あたかも問題が小さいと主張しているかのような印象を与えかねない、被害者の神経を逆撫でするものであることを知っておいたほうがよいだろう。
いつものように今日も大量のspamメールが来たのだが、こんなURLへのアクセスを誘うものが目に留まった。
Hi Peter, otter size does matter maladapt angry prescott. http://rd.yahoo.com/M=56XXXX.……/R=0/*http://www.executivewholesaleinc.info/n/?AFF_ID=nvXXXXXXXs
アフィリエイトの悪用のようだが、それはともかく、アクセス先は yahoo.com であるように見えて、実際には最終的に www..executivewholesaleinc.info にアクセスすることになる。これは、yahoo.com のリダイレクタ(指定のURLに自動ジャンプするCGI)へのアクセスだからだ。yahoo.com だからと安心させてアクセスを誘おうというわけだ。
こういう手口があるので、URLの確認はジャンプ前ではなく、ジャンプ後(の重要アクションをとる前)に行うべきである。
携帯電話におけるURLの確認の必要性について、24日の日記「アドレスバーのない携帯電話はPhishing詐欺に耐えられるか」と26日の日記「太古の昔、アドレスバーが入力欄でなかったのを知ってるかい?」に書いたように、携帯電話では、事前にURLを確認するスタイルになっている。メールはHTML非対応なのでURLは目に見えるし、FOMAのデコメールでは、ジャンプ前にジャンプ先のURLを表示して確認するようになっている(機種がある)とのコメントを頂いた。
しかし、携帯電話のブラウザがリダイレクトに対応しているのなら、事前の確認ではだめだということになる。
ここで、「どうにでも使えるリダイレクタが公開されていることが悪い」という主張が出てくるかもしれない。だが、はてなアンテナだって、次の形式で任意のサイトにリダイレクトさせられる。これは世間に存在を認められたシステムと考えたほうがよい。
http://a.hatena.ne.jp/go?http://www.kantei.go.jp/
次にこういう主張が出てくるかもしれない。任意のサイトに中継するプロキシがどこかにあれば、それに騙されるではないかと。つまり、
http://proxy.hatena.ne.jp/translate?http://www.kantei.go.jp/といったURLで利用できるプロキシがあれば、アクセス後の画面のURLのドメインは依然として hatena.ne.jp なのであるから、アクセス後にURLを確認したとしてもだめだという主張だ。
だが、そうしたプロキシサービスは、掲示板荒らしなどに悪用されかねないため、昨今ではほとんど存在しない。少なくとも、皆が信頼するようなドメインのサイトでそういうサービスは行われていない。
以上の考察から、やはり、URLの確認はジャンプ後(の重要アクションをとる前)に行うべきである……ということになる。
ただし、携帯電話がリダイレクトに対応していないならそれでもよいし、あるいは、リダイレクトのたびにリダイレクト先の確認が出るというならそれでもよい。