2012年2月28日(火曜日)
PASMO履歴照会サービス、認証なし?
公開: 2012年3月10日22時5分頃
PASMOのお話が盛り上がっております。
- ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか (takagi-hiromitsu.jp)
- パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 (takagi-hiromitsu.jp)
「マイページ履歴照会 ログイン・登録」から「会員登録」のページへ移動してみると、以下のような画面が現れる。つまり、PASMOのカード番号(IDi)と、氏名、生年月日、電話番号(電話番号は不要の場合もある)さえあれば、アカウントを作成でき、そのアカウントでそのPASMOの乗車閲覧を閲覧できてしまう。
これはまずいですね。
このようなサービスは本来、記名式のPASMOを購入して利用している人が、自身の利用履歴を確認する趣旨のものでしょう。他人には閲覧できないようになっていなければならないはずです。とすると、本人だけが利用できるように、本人確認、すなわち認証が必要なはずです。
PASMOの履歴はカードに記録されていて、Felicaのリーダーを使えば履歴を確認することができます。また、駅の券売機などでも履歴を見られるようになっています。このときはいずれも、履歴を見るにはPASMOのカードそのものが必要です。つまりここでは、カードの所有者を本人とみなす、という形での認証が行われています。
この仕組みでは、カードが他人の手に渡ると履歴を見られてしまうリスクがあります。履歴を見られたくなければ、不用意に人に渡したり、落としたりさないようにきちんと管理しなければなりません。まあ、それは分かるでしょうし、たいていの人が大なり小なり認識していることでしょう。
振り返って、話題の「PASMO履歴照会サービス」はどうでしょうか。
履歴を見るために、カードそのものは必要ありません。PASMOのカード番号と、所有者の氏名、生年月日、電話番号がわかっていれば、それで履歴を見ることができます。
氏名は明らかに秘密情報ではありません。生年月日も、特に秘密にするような情報ではありません。Facebookで誕生日を登録している人は多いですし、それなりに有名な人ならWikipediaに誕生日が出ていることもあります。電話番号も、電話帳に載せて公開している人がいます。そもそも、PASMO購入時に電話番号を登録していなければ、電話番号は空欄で通ってしまいます。
残るはPASMOのカード番号だけです。これが明確に「他人に知られないようにしなければならない」とされていたり、「他人に知られると履歴を見られてしまう場合がある」と周知されていれば、大きな問題はないと考えることもできるでしょう。しかし実際にはそのようなことはなく、特に秘密にするように言われているわけではないようです。
さらに、Twitterではこんなご指摘もいただきました。
@bakera クレカ一体型のPASMO定期券は印字領域が裏(PASMOのIDと同じ側)です。すると、会社に通勤費を請求するために定期券面のコピーを提出すると、プライベートな買い物を含む履歴がバレバレに…
以上、https://twitter.com/rigarash/status/174388585456336897 より
定期券の券面は、有人改札では見せなければならないものですし、元々人に見せることを想定しているものでしょう。この部分に一緒に書いてあるものを「秘密にしろ」と言われても困ります。
さらにこんなお話も。
そういえば、ふと気になってPASMOの支払い控えを見てみたら番号が全桁印刷されてて吹いたw うかつに捨てられないシロモノとは知らなかったぞ。
結局のところ、PASMOのカードの番号は秘密情報としては扱われていないと言って良いでしょう。秘密情報は何もなしに登録できてしまうわけで、妥当な認証が行われていないいうことです。
さらにログイン画面を見ると、以下のような何とも不穏な文言が……。
ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください
つまり、既にアカウントが登録済みであっても、再度会員登録が可能なようになっているということですね。アカウントを持っていても上書き登録されてしまうので、防衛のためにアカウントを取っておくというのも駄目なようです。
- 「PASMO履歴照会サービス、認証なし?」にコメントを書く
- 前(古い): 2012年2月27日(Monday)のえび日記
- 次(新しい): 2012年2月29日(Wednesday)のえび日記
