<前の日記(2004年04月27日) 次の日記(2004年04月30日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3111   昨日: 3315

2004年04月28日

クレジットカード会社は会員をカード番号で管理しているの?

というニュースを読んだ。当事者の発表文には次のように書かれている。

弊社が本年1月に行った保険商品のダイレクトメール(DM)用に抽出した自社プロパーカード会員99,789名分のファイルの中に4名の会員様の情報が集中していることが明らかになり、当該ファイルから情報流出した可能性が高いことが判明いたしました。

流出した可能性のある情報は、お名前・郵便番号・住所・電話番号・性別・生年月日・カード番号の7項目であり、それ以外の情報は一切含まれておりません。なお、データ抽出からDM作成の間にはMO(光磁気ディスク)を媒体として使用し、

(略)

(当該MOはDM委託会社より期日どおり返却されております。)

日本信販, お客様情報が流出した可能性についてのお知らせ

ダイレクトメール発送のために委託会社に渡すMOディスクとして抽出したファイルとのことだが、そのファイルに、クレジットカード番号も含まれていたと読める。ダイレクトメールの発送にクレジットカード番号が必要なのだろうか?

「それ以外の情報は一切含まれておりません」とのことなので、有効期限は含まれていないのだろう。データベースを丸ごと渡したわけではないということか。だとするとなおさら、カード番号まで抽出した目的がわからない。

もしかして、会員管理のキーとして使う会員番号としてのカード番号なのだろうか。

そういえば、そもそもクレジットカード番号とは、クレジットカード会員の「会員番号」そのものだ。

クレジットカードの歴史を手繰ると、1920年代にアメリカの石油会社が始めたガソリン購入用カードが起源だという。ローカルなサービスにおいて、会員番号をキーにして、付けで買うためのシステムだったのだろう。そういうシステムを、そのまま店舗をまたがった汎用カードにしてしまうという大胆さがすごいが、コンピュータの未発達な時代では、それでもそこそこ安全だったのだろう。

そういうローテクなシステムを、「カード番号は秘密にすべき情報」という暗黙のルールの下でどうにかこれまでまわしてきたわけだ。もちろん、そういう危ういシステムをこの時代になっても使い続けるのは、カード会社が覚悟の上でやっていることなのだから、それはそれでけっこうだ。万が一のときにどうにかしてくれれるならば、利用者としてはそれでかまわない。

だが、そういう状況であるのなら、名簿管理のための裏会員番号を用意してもよいのではなかろうか。ダイレクトメール発送会社に渡す名簿のキーには裏会員番号を使うべきである。そういうことは当然行われているものと直感していたが、そうではなかったということだろうか。いまどきのコンピュータシステムであれば、裏番号と会員番号との対応付けなど朝飯前のはずなのだが。

ところで、電話番号・性別・生年月日も漏れたとのことだが、ダイレクトメール発送にどう使われているのかよくわからない。

ちなみに、「一切含まれておりません」という表現は、あたかも問題が小さいと主張しているかのような印象を与えかねない、被害者の神経を逆撫でするものであることを知っておいたほうがよいだろう。

ジャンプ前のドメイン確認では駄目な理由

いつものように今日も大量のspamメールが来たのだが、こんなURLへのアクセスを誘うものが目に留まった。

Hi Peter,
otter size does matter maladapt angry prescott.
http://rd.yahoo.com/M=56XXXX.……/R=0/*http://www.executivewholesaleinc.info/n/?AFF_ID=nvXXXXXXXs

アフィリエイトの悪用のようだが、それはともかく、アクセス先は yahoo.com であるように見えて、実際には最終的に www..executivewholesaleinc.info にアクセスすることになる。これは、yahoo.com のリダイレクタ(指定のURLに自動ジャンプするCGI)へのアクセスだからだ。yahoo.com だからと安心させてアクセスを誘おうというわけだ。

こういう手口があるので、URLの確認はジャンプ前ではなく、ジャンプ後(の重要アクションをとる前)に行うべきである。

携帯電話におけるURLの確認の必要性について、24日の日記「アドレスバーのない携帯電話はPhishing詐欺に耐えられるか」と26日の日記「太古の昔、アドレスバーが入力欄でなかったのを知ってるかい?」に書いたように、携帯電話では、事前にURLを確認するスタイルになっている。メールはHTML非対応なのでURLは目に見えるし、FOMAのデコメールでは、ジャンプ前にジャンプ先のURLを表示して確認するようになっている(機種がある)とのコメントを頂いた。

しかし、携帯電話のブラウザがリダイレクトに対応しているのなら、事前の確認ではだめだということになる。

ここで、「どうにでも使えるリダイレクタが公開されていることが悪い」という主張が出てくるかもしれない。だが、はてなアンテナだって、次の形式で任意のサイトにリダイレクトさせられる。これは世間に存在を認められたシステムと考えたほうがよい。

http://a.hatena.ne.jp/go?http://www.kantei.go.jp/

次にこういう主張が出てくるかもしれない。任意のサイトに中継するプロキシがどこかにあれば、それに騙されるではないかと。つまり、

http://proxy.hatena.ne.jp/translate?http://www.kantei.go.jp/
といったURLで利用できるプロキシがあれば、アクセス後の画面のURLのドメインは依然として hatena.ne.jp なのであるから、アクセス後にURLを確認したとしてもだめだという主張だ。

だが、そうしたプロキシサービスは、掲示板荒らしなどに悪用されかねないため、昨今ではほとんど存在しない。少なくとも、皆が信頼するようなドメインのサイトでそういうサービスは行われていない。

以上の考察から、やはり、URLの確認はジャンプ後(の重要アクションをとる前)に行うべきである……ということになる。

ただし、携帯電話がリダイレクトに対応していないならそれでもよいし、あるいは、リダイレクトのたびにリダイレクト先の確認が出るというならそれでもよい。


<前の日記(2004年04月27日) 次の日記(2004年04月30日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2004年04月27日) 次の日記(2004年04月30日)> 最新 編集