Dec 20, 2004

Edyサービス登録とフィッシング

今まで大崎と汐留以外ではまったく使うことのなかったEdy。ご近所さんでも使えるようになったので、とりあえずANAのマイレージを20000マイルほどEdyに移してみた(私の場合、ANAマイレージクラブカードに付いているやつなので)。

しかし、この調子だとすぐにマイルも尽きてしまう。というのも、私は飛行マイレージは全部United Airlinesに付けていて、ANAの方に貯まるのはクレジットカードのポイントを移行したマイレージだけだからだ。私のクレジットカードは三井住友のプロパーカードなので年間最大でも40000マイルしか貯まらない。一年間のクレジットカード利用額もだいたいそれに相当する額でしかないのでANAカードにしてその制約を取っ払っても特に得るものはない。

そんなわけで、クレジットカードからもチャージできるようにしようと思ったわけだが、その手続きで大いに疑問を感じたのでここで書くことにした。ちなみにパソリ(RC-S310)は、eLIOを作って即解約することで予め入手してある。

EdyViewer2.0.1.4をインストールして起動すると、サービス登録というメニューがあって、そこからチャージ用のクレジットカードなどの情報を登録することができる。以前はもっと面倒だったはずだが(だからこそ今まで放置していた)ずいぶん簡単になったものである。

サービス登録とは?

クレジットカードをご登録(新規・変更)された場合、Edyチャージなどオンラインサービスは、ご登録申込者と登録されたクレジットカードの名義人が同一人であることの確認など、当社所定の手続きが完了した場合に限り、ご利用可能となります。(通常1週間程度かかります)なお、上記ご本人様確認に際し当社規程により、原則として、お客様に確認のお電話等をさせていただきますので、あらかじめご了承ください。また、お一人様のご登録は合計5枚(台)までの Edyカード、Edyケータイに限らせていただきます。

さてここからが本題。

「ご登録申込者と登録されたクレジットカードの名義人が同一人であることの確認」はサービス登録時に入力した電話番号を使って行われるのだが、その手続きは以下のようなものだった。

  1. Edyヘルプデスクから私に電話。本人がいなかったので、留守番電話に「03-XXXX-XXXXに電話してくれ」と入っていた。
  2. 私からEdyヘルプデスクに電話。個人認証情報として、氏名と生年月日と電話番号を応える。
  3. 一旦、電話を切る。
  4. Edyヘルプデスクから私に電話。カード情報としてカードに付記されている番号を応える。
  5. 手続き完了。

さて、問題になるのは「私」の認証をしていても「Edyヘルプデスク」の認証はしていないのだから、「Edyヘルプデスク」を騙った(電話を使った)フィッシング詐欺だった可能性がある、あるいはフィッシング詐欺ではないかという疑念を十分に抱かせる方法だった、ということである。

まず 1. の電話は名簿などから無作為にかけられる。2. でかかってきた電話でナンバーディスプレイまたは認証情報として電話番号を聞き出すことで得る。4. では 2. で得た番号に掛けなおせばよい。この一連の操作によって「氏名」と「生年月日」と「カードに付記されている番号」という個人情報を得ることができたわけだ。

この可能性を否定するには、「Edyヘルプデスク」の認証が必要である。現状顧客は「おそらくサービス登録した結果として個人確認の電話がかかってきているのだろう」という因果関係の認識によってしか、「Edyヘルプデスク」なる団体の確認を行えないが、おおよそ「確認」という呼べるほど確実性のレベルは高くない。フィッシング詐欺というのは、つまるところ、この確実性のレベルの識別を個々人にさせることの困難さに由来している。

もちろん、氏名は一部を除いて得てはいけないし(氏名と名簿から電話番号が分かる)、2. では電話番号の下4桁だけを応えさせるに留めて完全な電話番号を得てはいけない。当然、ナンバーディスプレイを使っていないことを証明する必要もあるがそれは無理なので、間違っても留守番電話に対する折り返し電話という秘匿性の低い回線を使用してはいけないし、その上で個人確認などしてはならない。

もっとましなプロトコルを考案・実装してもらいたいと強く思う。

About Me

My Photo

つくばで働く研究者

Total Pageviews

Amazon

Copyright 2012 Ogawa::Buzz | Powered by Blogger
Design by Web2feel | Blogger Template by NewBloggerThemes.com