ある程度予想されていたことだとはいえ、ついに起きてしまった.
「モバイルSuica」で不正クレジットカード利用、被害額は990万円 - ケータイwatch
約1年で1000万円——モバイルSuicaの不正利用はなぜ起きた? - ITmedia
ただし、よく記事を読んでみると...
モバイルSuica自体の問題ではなく、クレジットカードの不正利用の一手段としてモバイルSuicaが使われたということのようである.かいつまんでみると.
- モバイルSuica自体の問題とは言い難い
- CreditCardの不正利用がモバイルSuicaを通じて行われた.というのが正しい記述
- ただ、CreditCardの情報をモバイルSuicaに結びつける時の承認処理が甘かったという問題も
- 個人情報の登録処理が甘い.メールアドレスを誤って入力しても正常に登録処理ができてしまう
- 不正利用された携帯電話の電話番号やメールアドレスはJR東日本が把握しているが、それらが正しいかどうかは通信キャリアが保有する情報なので突き止められない.
- 現在も不正利用は発生したまま
- なんとなんと、モバイルSuicaの登録システムではSSL対応でなかった!!!
この他にケータイwatchの記事では「JR東日本のVIEWカード以外に他社のCreditCardを使えるようにしたもの遠因」などと言っているが、これは問題のすり替えで言い訳以外の何者でもない。VIEWカードが不正利用されれば同じことは起こりうるからだ.
今後はシステムの監視(利用パターンのチェック)と、以下にあるような利便性を確実に損なう対策を行うそうだ
- カードの暗証番号入力の必須化
- チャージ回数の制限
- 一日の利用限度額の設定
うーん.仕方ないとはいえ付け焼き刃対応だな.
根本的には、モバイルSuicaとCredit Cardの結びつきをさせるかどうか、またそうするとした場合、どこまで本人確認を必要とするのか? そして、なによりも不正取得されたクレジットカード情報がモバイルSuicaに結びつけられないようにすることが必要ではないだろうか?
しかし、クレジットカードってやつは知れば知るほど恐ろしいシステムだと、我思う.
ここのセキュリティをどうにかしないと、こういう被害はモバイルSuicaに限らずいつまでもずるずると続くことになるだろう.本当にもう、どうにかしなければいけない