reynotch

reynotch

-
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Posted by

reynotch

reynotch

-
 ローソンでは、iPhoneやAndroid向けにスマートフォンアプリを提供しています。
 

 
 このアプリでは、ローソンのポイント・カードで使用しているPontaIDでログインできるのですが、以下の画面を見てもおわかりのように、PontaID以外に電話番号、誕生月日、パスワードが必要です。


 
 私はすでにPontaIDを持っており、Webサイトにてパスワードも設定済みでした。そこで、そのパスワードでログインしようとしたのですが、何回やっても認証エラーとなります。
 
 おかしいなと思いつつ、よぉーくアプリのパスワード入力欄を見てみると。



 「パスワードの設定をしていない方はパスワードを設定しろ」と書いてあります。「ひょっとして、アプリとWebサイトは別管理なのかも?」と思いつつ、さらに何か書いてあるので読んでみると、なぜか初期パスワードが書いてあります。
 
 試しに、パスワード設定せずに、ここに表示されている初期パスワードを入力してみると、なんとログインできてしまいました。
 
 つまり、PontaIDと電話番号、誕生月日さえわかってしまえば、誰でもログインが可能なんです。これって、なりすましができちゃいますよね?
 

 実際問題としてPontaIDを入手するのは難しいかもしれません。でも、ローソンカードの表面に番号は露出しています。知り合いがなんらかの形で目にした場合、後は電話番号と誕生月日だけというのはなんとも心もとないところです。


 また、ローソンは以前、こんなことをやらかしています。



 これは、ローソンのレシートです(当時記事にしようとしてキャプチャしておいてよかった)。今では表示しなくなりましたが、ローソンでは以前レシートにPontaIDを全桁表示していました。
 
 「今表示していないなら問題ないのでは?」と思われるでしょう。ところがそうでもないんです。「ローソン レシート」で画像検索すると、PontaIDむき出しのレシートがぞろぞろと出てきます。
 
ローソン レシート - Google 検索


 中には、わざわざブログやTwitter、Facebookで公開している人もいます。仲良くなることで電話番号や誕生月日くらいはゲットできてしまうかもしれません。いわゆるソーシャルエンジニアリングという手法です。こっちの方が意外と楽かも。


 
 それに、Facebookだと誕生日の月日を公開している人も多いですよね。となると、後は電話番号だけ。ちなみに私の場合、Facebookの誕生日は嘘です。もはや、いつに設定したのかも覚えていないので、Facebook上の知人(リアル知人はほとんどいない)からおめでとうとか言われると「きょとーん」としてしまいます。
 
 話がそれてしまいました。本題に戻しましょう。
 
 もちろん、このような方法で実際になりすましまでできるかというと、その可能性はあまり高くないでしょう。でも、できなくはないです。

 それに、そもそもその場に表示されている初期パスワードでログインできてしまう仕様自体に問題があります。
 
 この初期パスワードは本人が変えるまではそのままです。しかも、初期パスワードでログイン後は、一度もパスワード変更を促されることはありません。そのため、そのまま変更せずに初期パスワードのまま、使い続けてしまう人も少なくないでしょう。
 
 これまた困った仕様ですね。本来なら、初期パスワードでログイン後はすみやかに新しいパスワードを設定させ、強制的にログインし直させるべきです。
 
 
 他人になりすまされないようにするためには、自分でパスワードを変更するしかありません。ところが、上記のような仕様なので、パスワードを変更しないまま、つまり誰もが知る初期パスワードのままの方も多いはずです。

 
 しかも、そのパスワード変更にも問題があるんです。
 
 パスワードの初回設定時には自動的にスマートフォンのメーラーが起動し、その送信元にパスワード変更用のURLが送られるようになっています。つまり、第三者が他人のPontaID、電話番号、誕生月日を入手し、初期パスワードでログイン後、自分のメールアドレス宛にパスワード設定のURLを送ってしまえば、パスワードの変更ができてしまいます。その結果、永遠にその人になりすますことができます。
 
 スマートフォン版のPontaIDとメールアドレスは元々結びついていないので、どのメールアドレスからであろうが、ノーチェック。すごい仕様です。パスワード設定時には初期パスワードを聞かれますが、初めてのパスワード設定時はアプリに書いてある初期パスワードなので誰でも変更ができてしまいます。
 
 なお、一度パスワードを変更すると、それはすべてのスマートフォンで共通になるようです。iPhoneでパスワードを変更後、Androidでログインしようとしたところ、初期パスワードではログインできず、変更したパスワードが必要でした。
 
 また、Webサイトのパスワードはやはり別のようです。こちらは従来のパスワードでしかログインできませんでした。PontaIDは同じなのに。あー、ややこしい。
 
 なんでこんな変な仕様なんでしょうね。
 
  
 それにしても、PontaIDを使っている方の中には、スマートフォンを持っていない方もいるはずです。その方のPontaID、電話番号、誕生月日をゲットしてしまえば、気づかれることなしに、永遠になりすますことができそうですね。Pontaでは利用金額に応じポイントが貯まりますので、少なくともポイントは使われ放題です。怖い怖い。 
 
 
 実は、ローソンアプリでは以前も似たようなことをやらかしています。それは、ローソンが無料のWi-Fiサービスを開始した時です。
 
 その際のログイン画面がこちら(これも、当時記事にしようとしてキャプチャしておいた奴)。


  
 この時は、PontaID、電話番号、誕生月日のみでログインできました。パスワードなしでログインできてしまうという残念な仕様が話題となりました。
 
 結局、この当時とさほど変わっていないわけです。

 
 先に記事にしたTポイントといい、今回のPontaといい、セキュリティに対する意識が低さは気になります。
 
自分の個人情報を売って、年間最大180円のお小遣いをゲットできるよってお話 #TpointToolBar : I believe in technology



 これらのサービスを利用すると、ポイントというメリットを得られる代わりに、個人情報や行動履歴といったものを渡すことになります。このようなずさんなログイン方法を提供しているようでは、それらが漏れる危険性も決して少なくありません。
 
 わずかなポイントのために、そのリスクを負わなければならないのか?
 
 Tポイントといい、Pontaといい、ポイントシステムの利用そのものを見直すべきかもしれませんね。


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。