拝啓 消費者支援機構関西 様
ヤフオクでID乗っ取りで覚えの無い出品手数料その他が請求されまくりの件。
適格消費者団体 特定非営利活動法人 消費者支援機構関西 (2008/7)
インターネットオークションYahoo! JAPAN ID乗っ取りについて
ネットオークション大手のヤフーオークションに関して、会員のIDが乗っ取られ何者かによって出品がなされた結果、身に覚えのない利用手数料等の請求を受けている等の被害が多発しているようです。
(途中省略)
調査をより効果的に進めるため、このたび、アンケートを実施することに致しました。
ということで、アンケートの最後にある「6.その他(KC’sへの要望)など」のところに書く内容を考えてみた。もう少し直したあと週末にでも送る。
拝啓 消費者支援機構関西 様
本件における根本的な事実は「会員のIDが乗っ取られた」ということです。
会員のIDを乗っ取る方法として一番考えうるのが
「その会員のパスワードを何らかの方法で入手しそれを行使する」
という方法です。
したがって、被害にあった会員のパスワードはどこから漏れたのか?という
疑問を解くことが解決すべきひとつの課題となります。
ヤフーオークションをはじめとして、インターネット上には様々なサービスが
存在します。ショッピングサービスの楽天、書籍販売のアマゾン、ソーシャル
ネットワークサービスのmixi、メールサービスのMSN Hotmail、その他大小
数え切れないほどのサービスが存在します。
それらのほとんどが、「パスワード」という概念を使って
ユーザーを識別しその情報を保護しているのは周知の事実です。
ところが、ここ1、2年の間、不正アクセス被害によって
ユーザーのIDとパスワードを流出させてしまうという事故を起こす
企業が後を絶ちません。
株式会社 サウンドハウス 2008年4月
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561
ドッグワンライフ(ホッタ株式会社)2008年9月
http://www.hottaweb.co.jp/information/pdf/080901report.pdf
オンラインゲームポータルに不正アクセス、個人情報14,362件流出
http://internet.watch.impress.co.jp/cda/news/2008/01/29/18267.html
絵本ナビ 2008年8月
http://newblog.ehonnavi.net/2008/08/post_32.html
アウトドア&フィッシング ナチュラム 2008年6月
http://www.minerva-hd.com/faq_c_080806/index.html
いずれも数万件から数十万件という単位でIDやメールアドレス、
そしてパスワード情報が一気に流出しています。
もちろん上記は全体のうちの一部であり、また、昨今の企業不祥事の
様子から推察すると、発覚しても公表していない企業すらあるでしょう。
また、不正アクセスに気づいてすらいない企業もあるでしょう。
一方でユーザーは、たくさんのインターネット上のサービスを
使い分けるにあたり、そのパスワードとして同じものを複数のサービスに
登録してしまうという使い方をするユーザーが非常に多いと思われます。
多種類のパスワードを頭に記憶しておくのは大変だからです。
たとえば、Yahooとmixiと楽天に登録しているパスワードは実はすべて
同じだというユーザーはとてもたくさん存在するのではないでしょうか。
上記で挙げた企業もこの点は認識しており、次のような呼びかけをしている
企業もあります。
-----------------------------------------------
株式会社オズ インターナショナル
http://www.ozinter.com/news_list.asp?nid=37
サイト、携帯、その他で「同一パスワードを使用している人」は
2重、3重のパスワード管理が無意味になりますので、出来るだけ
早く全て違うパスワードに変更することをお勧め致します。
-----------------------------------------------
逆に言うと、先ほどの例では、Yahooとユーザーの二者間だけの
秘密であるべきはずのパスワードを、mixiや楽天という第三者に対し
ユーザー自ら漏洩させている、ということになります。
このように、多くの人がいろいろなサービス上で同じパスワードを使いまわしていて、かつ、
パスワードを含む個人情報の漏洩事件に巻き込まれている企業が後をたたない、
という二つの現実こそが、最初に挙げた
「被害にあった会員のパスワードはどこから漏れたのか?」
という疑問に対する、複数ある可能性のうちの、ひとつの解答のはずです。
本件の被害者の中には、「IDとパスワードが一致していれば本人とみなす
という規定の無効を請求(消費者団体訴訟による差止請求)すべき」との
意見を表明する方もいらっしゃるようです。
しかし、最初に述べたように、星の数ほどあるインターネット上のサービス
のほとんどがパスワードの概念を使ってユーザーを識別しています。
したがって、このような考え方はインターネット全体における様々な経済活動を
必要以上に妨げてしまう要因となります。
最近の銀行のネットバンキングサービスのように
ワンタイムパスワードの概念とそのための特殊な機材を使用する方法も
考えられますが、その利便性と経済性を考えると企業にとっても
消費者にとっても負担となる方法です。
現在も、そして今後しばらくの間も、一般的なパスワードの概念に基づいた
インターネットサービスは提供され続けることでしょう。
そんな中で、企業や団体に誠実な対応を求めるのであれば、
消費者もまた次の質問に誠実に答える義務があると思います。
(1) 自分がヤフーで使用しているパスワードを、
他のサイトでも同じパスワードを使用していましたか?
(2) それが、パスワードを第三者に教えてはいけないという一般常識に
反していることを理解していますか?
コンピュータセキュリティに関連する事件についてのアンケートであり、
パスワードというものがひとつの重要なキーワードであるにもかかわらず、
被害内容に関する質問ばかりで、
一般ユーザーが守るべきパスワードの常識に関する質問が
消費者支援機構関西 様のアンケート上に無いことを残念に思います。
本件における根本的な事実は「会員のIDが乗っ取られた」ということです。
会員のIDを乗っ取る方法として一番考えうるのが
「その会員のパスワードを何らかの方法で入手しそれを行使する」
という方法です。
したがって、被害にあった会員のパスワードはどこから漏れたのか?という
疑問を解くことが解決すべきひとつの課題となります。
ヤフーオークションをはじめとして、インターネット上には様々なサービスが
存在します。ショッピングサービスの楽天、書籍販売のアマゾン、ソーシャル
ネットワークサービスのmixi、メールサービスのMSN Hotmail、その他大小
数え切れないほどのサービスが存在します。
それらのほとんどが、「パスワード」という概念を使って
ユーザーを識別しその情報を保護しているのは周知の事実です。
ところが、ここ1、2年の間、不正アクセス被害によって
ユーザーのIDとパスワードを流出させてしまうという事故を起こす
企業が後を絶ちません。
株式会社 サウンドハウス 2008年4月
http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561
ドッグワンライフ(ホッタ株式会社)2008年9月
http://www.hottaweb.co.jp/information/pdf/080901report.pdf
オンラインゲームポータルに不正アクセス、個人情報14,362件流出
http://internet.watch.impress.co.jp/cda/news/2008/01/29/18267.html
絵本ナビ 2008年8月
http://newblog.ehonnavi.net/2008/08/post_32.html
アウトドア&フィッシング ナチュラム 2008年6月
http://www.minerva-hd.com/faq_c_080806/index.html
いずれも数万件から数十万件という単位でIDやメールアドレス、
そしてパスワード情報が一気に流出しています。
もちろん上記は全体のうちの一部であり、また、昨今の企業不祥事の
様子から推察すると、発覚しても公表していない企業すらあるでしょう。
また、不正アクセスに気づいてすらいない企業もあるでしょう。
一方でユーザーは、たくさんのインターネット上のサービスを
使い分けるにあたり、そのパスワードとして同じものを複数のサービスに
登録してしまうという使い方をするユーザーが非常に多いと思われます。
多種類のパスワードを頭に記憶しておくのは大変だからです。
たとえば、Yahooとmixiと楽天に登録しているパスワードは実はすべて
同じだというユーザーはとてもたくさん存在するのではないでしょうか。
上記で挙げた企業もこの点は認識しており、次のような呼びかけをしている
企業もあります。
-----------------------------------------------
株式会社オズ インターナショナル
http://www.ozinter.com/news_list.asp?nid=37
サイト、携帯、その他で「同一パスワードを使用している人」は
2重、3重のパスワード管理が無意味になりますので、出来るだけ
早く全て違うパスワードに変更することをお勧め致します。
-----------------------------------------------
逆に言うと、先ほどの例では、Yahooとユーザーの二者間だけの
秘密であるべきはずのパスワードを、mixiや楽天という第三者に対し
ユーザー自ら漏洩させている、ということになります。
このように、多くの人がいろいろなサービス上で同じパスワードを使いまわしていて、かつ、
パスワードを含む個人情報の漏洩事件に巻き込まれている企業が後をたたない、
という二つの現実こそが、最初に挙げた
「被害にあった会員のパスワードはどこから漏れたのか?」
という疑問に対する、複数ある可能性のうちの、ひとつの解答のはずです。
本件の被害者の中には、「IDとパスワードが一致していれば本人とみなす
という規定の無効を請求(消費者団体訴訟による差止請求)すべき」との
意見を表明する方もいらっしゃるようです。
しかし、最初に述べたように、星の数ほどあるインターネット上のサービス
のほとんどがパスワードの概念を使ってユーザーを識別しています。
したがって、このような考え方はインターネット全体における様々な経済活動を
必要以上に妨げてしまう要因となります。
最近の銀行のネットバンキングサービスのように
ワンタイムパスワードの概念とそのための特殊な機材を使用する方法も
考えられますが、その利便性と経済性を考えると企業にとっても
消費者にとっても負担となる方法です。
現在も、そして今後しばらくの間も、一般的なパスワードの概念に基づいた
インターネットサービスは提供され続けることでしょう。
そんな中で、企業や団体に誠実な対応を求めるのであれば、
消費者もまた次の質問に誠実に答える義務があると思います。
(1) 自分がヤフーで使用しているパスワードを、
他のサイトでも同じパスワードを使用していましたか?
(2) それが、パスワードを第三者に教えてはいけないという一般常識に
反していることを理解していますか?
コンピュータセキュリティに関連する事件についてのアンケートであり、
パスワードというものがひとつの重要なキーワードであるにもかかわらず、
被害内容に関する質問ばかりで、
一般ユーザーが守るべきパスワードの常識に関する質問が
消費者支援機構関西 様のアンケート上に無いことを残念に思います。
see also:
- パスワードの危機(その1) − きっかけ (2004/2)
- パスワードの危機(その2) − あるべき姿 (2004/2)
- パスワードの危機(その3) − 楽天の場合 (2004/2)
- パスワードの危機(その4) − SSL催眠術 (2004/2)
- パスワードの危機(その5) − アマゾンの場合 (2004/3)
- 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々 (2008/9)
- 結局、予想通りの展開(ヤフオクID乗っ取りの件) (2008/9)
- パスワードはサイバースペースの「実印」 セキュリティー-西本逸郎のセキュリティー表ウラ (日経IT-PLUS 2008/2)
2008年9月19日
Comments [0]
|
Trackbacks [0]
コメントする
(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)