<< 大阪市のメール調査 | top | PiTaPaやクレジットカードの紛失再発行手続きの問題 >>

PiTaPa利用者への注意

要点

PiTaPa倶楽部に第三者が登録するのを防ぐため、以下の点は必ず守りましょう

  • カード裏面に記載されている会員番号、カードID、有効期限は絶対に秘密にすること
  • PiTaPa倶楽部には必ず登録し、毎日ログインすること
  • カードを長期間利用しない場合は解約を検討すること

理由

PiTaPa倶楽部に登録するには

  • 会員番号
  • カードID
  • 有効期限 (以上カード裏面記載)
  • 生年月日
  • 電話番号

が必要です。逆に言えば、これだけの情報があれば、誰でも会員になりすまして登録可能です。

PiTaPaで決裁した際のレシートにはカードIDが記載されている場合があるので必ず回収しましょう。また、会員番号やカードIDを入力するサービスは絶対に使用してはいけません。PiTaPaは、カード裏面の情報は秘密にしなければならない、本人しか知り得ないはずである、と説明しています。一方で、加盟店が独自にカードIDや会員番号を収集することを認めています。このように、PiTaPa自身も裏面情報の扱いについて曖昧な認識であることから、PiTaPaや加盟店において不用意な扱いがされていることは十分考えられます。もちろん、最初からカード情報の収集を目的としたサイトがある可能性もあります。

PiTaPa倶楽部は一度登録済みであっても、上記の情報があれば任意のID、パスワードで再登録が可能です。したがって、第三者が不正にPiTaPa倶楽部に登録してないか発見するためには、頻繁に自分のID/パスワードでログインできるか確認するしかないのです。

注意が必要なのは、不正に登録されることを防ぐことは出来ず、不正に登録されたことを発見することしか出来ないことです。自分のIDでログインできないということは第三者が不正に登録したと言うことであり、

  1. 利用履歴の漏洩
  2. 個人情報(住所氏名勤務先メールアドレス金融機関の支店名まで)の漏洩
  3. カードの詐取

の被害にあう/あったことになります。

利用履歴については、高木氏が指摘しているPASMOの問題と同じです。PiTaPaの場合はそれに加えて、会員情報が閲覧出来るため、個人情報漏洩になります。

問題はカードの詐取です。PiTaPa倶楽部では会員情報が閲覧出来るだけでなく、住所が変更できます。したがって、PiTaPa倶楽部に不正にログインされた場合、住所を変更した上で紛失の手続きを行えば、任意の住所にカードを送付できます。PiTaPaはこれについて、「住所を変更するにはカードIDを入力する必要があるから問題ない」と説明していますが、不正に登録できる攻撃者はカードIDを知っていますから何のチェックにもなっていません。

紛失手続きが伴いますので、カードを毎日利用している場合は利用停止になったことで気づくことが出来ます。しかし、カードを頻繁に利用しない場合、詐取されたカードが悪用された結果(利用履歴に載る、請求が来る)でしか判断できません。そして、PiTaPa倶楽部では利用履歴が確認出来るため、「利用頻度が低い人」を簡単に見分けることが出来ます。*1

  • *1: 実はカードの詐取の可能性について問いあわせた所もっとすごい穴があることがわかったのですが、さすがに信じがたいので再確認中です。
2012/03/02 22:55更新

2012/03/03 10:02追記

PiTaPa倶楽部で住所変更ができない場合があるようです。この場合、カード詐取のリスクは低いと思います。提携カードでは不可のようですが、カードの種類にかかわらず、住所変更が可能かどうか確認した方がよいでしょう。

2012/03/05 13:12追記

カード詐取出来る「大穴」の件、書きました。要は紛失手続きの時に引っ越したとか言えばカードの送り先を任意に指定できるということです。

あともう一度PiTaPaに確認したこと。

  1. PASMOの件は知っている
  2. PiTaPa倶楽部について対策やサービス停止が必要とは考えていない
  3. 家族や恋人などカードの裏面の情報を見られるような立場であればPiTaPa倶楽部に登録出来る
  4. 一般的に想定される不正の対策は出来ている
  5. (カードを盗み見られるというのは想定していない?)「盗み見るという行為が社会通念上問題がある」
  6. (問題があるかどうかではなく、想定しているか)「一般的に想定される不正の対策は出来ている」
  7. 以下5,6の繰り返し。

最後はまともに対応していただけなくなりました。

少なくとも、止めるつもりも対策するつもりもないことだけははっきり明言されましたので、PiTaPa利用者各位におかれましては自衛におつとめください。

2012/03/07 11:37追記

PiTaPa会員番号はセットになったクレジットカード番号と同じ(こともある)そうです。

これはヒドイ。PiTaPa倶楽部はアカウント乗っ取りを公式に推奨中 - ブックマクロ開発に

これを、「クレジットカード番号だから扱いに慎重になるだろう」ととるか、「独自情報じゃないじゃん」ととるか。

しかし、「PiTaPa会員番号を収集する」=「クレジットカード番号を収集する」であるなら、加盟店が会員番号を収集するのは非常に危険ではないだろうか。

この記事へのコメント

(2013/09/02 00:12):
削除しました

この記事にコメントする:
:
:(spamよけのダミーです。入力しないでください)

この記事のトラックバックURL: http://www.sonorilo.net/tb/2852

タグ

www.flickr.com
This is a Flickr badge showing public items from suzukis tagged with japan. Make your own badge here.

最近の話題 RSS feed

最近のコメント

メール("no-spam."を削除してください)