パスワードを忘れた? アカウント作成
2012306 story
日本

「PASMO マイページ」よりも酷い?「PiTaPa 倶楽部」 82

ストーリー by reo
総開示社会 部門より

ある Anonymous Coward 曰く、

先日、PASMO の利用履歴をオンラインで確認できる「PASMOマイページ」の危険性が話題になり、サービスが一時停止する事態になったが、関西交通系 IC クレジットカード「PiTaPa」でも同様の問題があったそうだ。さらにこちらの場合、「ユーザーがすでにアカウントを作成していても、第三者がそのアカウントを乗っ取れる」というより酷い実装になっている模様 (「ブックマクロ開発に」の記事より) 。

PASMO マイページでの問題点は、PASMO のカード番号と PASMO の申込時に登録しておいた名前、生年月日、電話番号だけで登録ができてしまうというものだった。PiTaPa の場合、会員番号と生年月日、電話番号、有効期限、カード ID の下 4 桁、有効期限の情報が必要と、このあたりは PASMO と似ているのだが、PiTaPa ではすでにアカウントを作成していた場合でも、再度登録を行うことでアカウントを作成できてしまうという点が異なる。そのため、これらの情報さえ分かって入れば、簡単にその利用履歴を確認できてしまうという。

ただし、PiTaPa の場合扱いが慎重となることを要求されるクレジットカード番号が必要という点が PASMO の場合と異なる点だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by taka2 (14791) on 2012年03月09日 10時19分 (#2114206) ホームページ 日記

    PASMOより酷い理由として

    ユーザーがすでにアカウントを作成していても、第三者がそのアカウントを乗っ取れる

    というのが挙げられてますけど、PASOMOも同じですね。
    公式サイトは止まってるので、PASMOのストーリーのコメント [srad.jp]から引用

    https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

    マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。

    というわけで、条件は同じ。

  • by deleted user (45276) on 2012年03月09日 10時44分 (#2114224)

    ただし、PiTaPa の場合扱いが慎重となることを要求されるクレジットカード番号が必要という点が PASMO の場合と異なる点だ。

    この点について。会員登録時に求められるのは「PiTaPa会員番号」であり、「PiTaPa会員番号=クレジットカード番号」となっている事に注意が必要。

    「ブックマクロ開発に」の記事にも、

    PiTaPa会員番号がクレジットカード番号と同等でした。なのでPASMOと違いPiTaPaは利用者が番号の取扱いが慎重なことを知っている。*3

    *3:まさかPiTaPa会員番号とクレジットカード番号が同一だとは・・・

    とあるけれど、PiTaPa会員番号とクレジットカード番号が同一だから、PiTaPa会員番号は取扱いに注意した方がいい、ということを利用者がちゃんと認識しているか、という点は非常に怪しいと思う。
    私もPiTaPaを使っているけれど、会員番号がクレジットカード番号と同一であることは気付かなかったし、先の「ブックマクロ開発に」の筆者もこの調査をするまで認識はなかったのでは。

    クレジットカート番号の取り扱いには注意すべきとの認識は一般的にあるだろうけれど、PiTaPa会員番号にも同様の認識があるかというと疑問。これは別の観点で怖い。

    • by Anonymous Coward

      PiTaPa関連を装ったフィッシングサイトを作れば…

      チョロイもんよ、って感じですね

      • by Anonymous Coward

        まあ作っただけで有罪になりますけどね。

        • by Anonymous Coward

          国内法で違法だ、程度のことが何の抑止力になるんだろうか

    • by Anonymous Coward

      > 「PiTaPa会員番号=クレジットカード番号」となっている事に注意が必要。

      えーっと、ちょっと信じがたい設計なので確認したいのですが、
      「おそらくはPiTaPa会員になる時にクレジットカード番号の入力が求められ、
       入力されたクレジットカード番号がそのままPiTaPa会員番号になる」
      ということ?

      なにそれこわい。

      メールアドレスくらいならまだあるけど、クレジットカード番号を会員番号にするバカがどこにいる。

      • ごめん。前提が抜けていた。
        まずラインナップ [pitapa.com]にある通り、PiTaPaにはクレカ機能付きのカードと、クレカ機能付きでないカードがある。

        後者は持っていないのでよく知らないのだけれど、ryoさんがフォローして下さっている [srad.jp]のでそちらをご参照。
        クレカ機能が付いてないPiTaPaであれば、PiTaPa会員番号を秘密にする意識があったかどうかが問われる話(先のPASMOの件に近い)になるかな。

        そして前者については、少なくとも提携カードの一つであるSTACIA PiTaPaについては、発行されるクレジットカードと同じ番号を、会員番号として発行している。
        他のカードについては知らないのだけれど、PiTaPa倶楽部会員登録の入力枠(16文字を4文字区切りで入力)を見ると、同様の仕様である可能性が高そう。

        親コメント
      • おそらく PiTaPa というシステムについて誤解されていますね。

        「ポストペイ」=「運賃後払い」というシステムのため、PiTaPa そのものがクレジットカードの一種になっています。運用は三井住友カード。(だから申し込みには、与信審査などがあります)

        で、PiTaPaにはさまざまな提携カード [pitapa.com]があり、これらは入会すると「PiTaPaカード」と「クレジットカード」が発行されます。
        そのとき、二つで同じカード番号になっている場合がある、ということなのだと思います。

        「申し込みに使ったカード番号がそのまま会員番号になる」のではなく、
        「申し込んだら、同じ番号が割り当てられたクレジットカードとPiTaPaカードが届く」ということです。

        親コメント
        • 一部重複になりますが失礼。

          PiTaPaにはいろいろ種類があるのですが、おおざっぱに分けると、
          1.発行主体がPiTaPa
                1a.PiTaPaが単独で発行している単体の「ベーシックカード」
          2.発行主体が提携先
                  2a.クレジットカード無しでPiTaPa単体で発行しているもの(Osaka PiTaPa Liteなど)
                  2b.クレジットカードとセットにして発行しているもの(クレカとPiTaPaの2枚)
                  2c.クレジットカード一体型(1枚だけ)

          PiTaPaのサービス開始当初は、メインは2b でしたが、この時点では、クレジットカードとPiTaPaはセットで作らされる割にほとんど無関係でした。請求すら別々だったぐらいです。当然PiTaPa会員番号≠クレジットカード番号でした。

          その後、2c.のクレジットカード一体型PiTaPaが出来たのですが、一体型カードでも必ずしもPiTaPa会員番号=クレジットカード番号ではありません。たとえば「PiTaPa機能付クレジットカード会員の方は、必ずカード裏面の「PiTaPa会員番号」を入力してください。 [smbc-card.com]」などと案内されています。

          逆に、PiTaPa会員番号=クレジットカード番号であるような案内をしているところが全くないので、STACIA PiTaPaがPiTaPa会員番号=クレジットカード番号としているのだとすると珍しいパターンなのだと思います。

          #PiTaPa会員番号=クレジットカード番号という仕組みだとPiTaPa会員番号として決済以外の目的でクレジットカード番号を提供/収集することになるので、いろいろ大丈夫なのかすごい疑問。

          親コメント
      • > 「おそらくはPiTaPa会員になる時にクレジットカード番号の入力が求められ、
         入力されたクレジットカード番号がそのままPiTaPa会員番号になる」

        さすがにそれは違います
        申し込んだ時に登録するクレジットカードとは別の番号がつきます
        クレジットカードみたいな16桁番号がついてますが、申し込んだ番号とは全然別です

        あと、持ってないので知らないけど、Pitapa機能付きクレジットカードの場合は、同じ番号になのかも?
        そうだとしたらたぶん元コメントの人はそのことを言ってるんだと思います

        親コメント
  • by kino_jp (42361) on 2012年03月09日 12時13分 (#2114308)

    札幌市営地下鉄のSAPICAは更に酷くて、SAPICA番号だけでアカウントが作れます。
    しかも、三ヶ月(だったかな?)ログインしてないと自動でアカウントが削除されるので、再び新規アカウントを作れという仕様。
    もう乗っ取ってくれと言わんばかりです。

    今見たら「メンテ中」で閉鎖してますね。
    時期的に関連してるかも。
    http://www.sapica.jp/ [sapica.jp]

    • by kogd9 (45248) on 2012年03月09日 15時10分 (#2114484) 日記
      なんという甘さ!

      2chのVIPあたりで祭になれば、大火災になってた恐れがありますな・・
      早期にサイト止めて正解ですね^^;

      --探せばもっといろいろありそうな気がしてきたぞ!
      親コメント
  • by Anonymous Coward on 2012年03月09日 11時14分 (#2114255)
    大事な情報なので2回入力しないといけないわけですね。すごいセキュアだ
  • by Anonymous Coward on 2012年03月09日 11時44分 (#2114282)

    某クレジットカードの解約をさっきやったのですが、
    電話の音声ガイダンスに従って人間との応対が無いまま、カードの番号、登録電話番号、生年月日の入力だけで済んだ。
    途中登録パスワードを要求されたが、判らなければそのままお待ちくださいとあり、入力をしなくても問題なく解約を完了できた。
    (恐らく電話番号と生年月日で認証の代替としたのだろう。)
    それが良いのか悪いのかはさておき、正直楽で良かった。(そもそも解約したから後は関係ないしね!)
    オンラインショップ等が上記情報を入手するのは比較的簡単なので、悪戯しようと思えば色々できるの鴨。
    牧歌的な時代とネットの時代の狭間って事なんでしょうね。

    こういうのは要求仕様策定段階でどうしても利便性に流されやすいので、公益を守る為として国がガイドラインを作るべきじゃないかな。

    #でも実際に出来上がるのは天下りの認定団体だったりしてな。

    • 牧歌的云々じゃなく、財布を盗まれたとか本人が死んで家族が利用停止させたいとかいう時に迅速に使用停止に持ち込めるように
      停止や解約は比較的容易にできるようになっている、ってことなんじゃないですかね。

      停止後、本人の訴えで復活できないとなれば危険ですが、そうでないのであれば停止出来る方がより安全側なのではないかと。

      親コメント
    • by Anonymous Coward

      解約なんだから、本人が気づいた時点で原状回復できるから、問題ないのでは。
      一方、情報漏洩は原状回復が不可能なわけで。

  • by Anonymous Coward on 2012年03月09日 11時53分 (#2114291)

    最近レノボのネット販売で買い物したんだけれど
    ここのサイトもEメールアドレスと注文番号だけで「住所、氏名、注文した品」が
    わかるようになってるよ。
    注文確認メールからは特に注文番号を他人に教えるなというようなことはない察せれない。
    サイトに接続して(ん、注文番号ってパスワードみたいなものじゃん)とやっと気付くレベル。

    だからといってこれが悪いとは俺は言わないでおくけどw

    • by Anonymous Coward

      注文番号はセッションIDみたいなものだから、ユーザIDよりは秘匿性がある。

      それに、その注文番号で閲覧できるのはその注文に関する情報だけだから問題がない。
      もし、その注文番号でその人の情報が全部みられるようになってるのなら、それはアウト。

      • by Anonymous Coward

        住所・氏名がアウトでなくて他になんの情報が足されるとアウトになるの?
        あと、注文番号も10桁程度の連番なのでユーザーIDと変わらんのですよ。

        • by Anonymous Coward

          浩光がアウトと言うとアウトで、セーフと言えばセーフです。

          言い換えれば、セキュリティゴロの金になりそうなものなら、乗車履歴だろうとアウト。
          金にならなさそうなら個人名だろうと性癖だろうと、セーフです。

  • by Anonymous Coward on 2012年03月09日 12時50分 (#2114351)

    「クックック、ヤツは我ら暴露四天王の中でも最弱」
    「jbeefごときに負けるとは・・・」以下略

  • by Anonymous Coward on 2012年03月09日 13時21分 (#2114399)

    登録にクレジット番号とは異なる「カード ID の下 4 桁」が必要で、カードを持っていないと登録できないんで
    基本的には盗まれない限り大丈夫だと思うんですが、認識が間違ってますか?

    • by Anonymous Coward

      カードIDがICカード裏面のIDiの事ならチャージしたときや買い物したレシートに下四桁が印字されてないと良いですね。
      # 事業者によって異なりそうだけど、仕様どうなってたかなー?

    • by Anonymous Coward

      元ネタ確認してませんでした、、、

      カードIDがレシートから入手できてしまうことが問題視されてました。
      とりあえず交通機関以外でIC機能を使っちゃダメですね。

    • by Anonymous Coward

      こういう履歴を見たがるのは全く見ず知らずの第三者じゃなくて、知人や恋人やストーカー化した顔見知りを想定すべきです。
      お手洗いにでも立った間にカードの現物を見てナンバーを控えられたらおしまい。

      これが例えばクレジットカードなら、気軽に出来るからといって番号を控えておいて適当な通販サイトで悪用なんてことをやってしまったら警察が動く騒動になるし、その場合でも金の問題なのでカード会社に連絡すれば被害は回復できる。
      でも知らないところで履歴を見られていた場合は気付きようもないし、被害を回復する方法もない。記憶を消してくれるなら別だけど。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...