Web屋のネタ帳

AppleのiTunes ミュージックストアでアカウント乗っ取りが発生して身に覚えナッシングな請求が何万円もきて涙目な人がかなりの数出ているそうで。 当事者の日記とか新聞報道とか、被害者じゃないけどちょっとしたつぶやきとか、ざっと並べてみましょう。

• iTunes Storeアカウントの不正利用の件　その後 - 続・怒涛のCDレビューマラソンのブログ(2009/9)
  （注：↑こちらの方には「「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々」をお読みいただければと切に願う。）
• iTunesアカウントが乗っ取られた！その２ - isi の日記 (2009/11)
• Twitter / Jeff Lebowski: 誰かがボクの Apple ID をリセットして乗っ取 ...
• asahi.com（朝日新聞社）：ｉＴｕｎｅｓで不正請求被害　アップル社、ＩＤ流出否定 - ネット・ウイルス - デジタル (2010/1/25)
• asahi.com（朝日新聞社）：ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査 - ネット・ウイルス - デジタル (2010/1/29)

種々の情報に当たるといくつかヒントが得られる。たとえば上の朝日の記事では、引用すると、

一方、愛知県の男性は昨年末まで約２週間、ｉＴＳ上で、神奈川県の男性の利用画面に入ってしまった。
　神奈川の男性がＩＤとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのＩＤとして誤入力した。そのＩＤがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。
　愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川の男性に連絡をとり、ＩＤとパスワードを直した。
　いずれのケースも、悪意を持ってなりすますことができる状態だった。

とのこと。これもひとつのヒントだ。

では、いつもはツタヤでCD借りてくる派なのだが、久々にiTunesストアを覗いてみることにする。

まさにこれが、焦点となっているIDとパスワード。購入ボタンを押すと出るダイアログだ。
「あれ？俺のIDとパスワードってなんだったっけ．．．．？！？！」
と思ったので、とりあえず「パスワードを忘れた場合」のボタンを押してみたら、 ブラウザが立ち上がって次の画面が現れた。（赤線は筆者による）

パスワードを再発行します。あなたのApple IDを入力してください：
(ヒント: Apple ID はメールアドレスの形式である場合も、そうでない場合もあります。たとえば、「yourname」という Apple ID が「yourname@me.com」とは別に存在することがあります。 MobileMe のお客様は、MobileMe のメールアドレスを「membername@me.com」などの完全な形式で入力してください)

唐突ですが、筆者の知人に鈴木N君（あくまでも仮名）という奴がいる。 実験台になってもらおう。自分のAppleIDの欄に「suzukin」と入力してみると。。。

赤い矢印のところにご注目。どうやら鈴木君のメルアドはsuzukin[AT]mac.com のようだ。 そういえば、昨日の電車でしゃべってた外人達が「Hey! Haward...」と言っていた。ハワード君というらしい。そこで、AppleIDの欄に「haward」と入力してみよう。

haward君のメルアドはhaward[AT]gmail.comらしいということがわかった。もちろん本当にそれが鈴木君やハワード君のメルアドであるかどうかは問題ではない。

カンのいい人はこのへんで気づいただろうと思う。

1. もしも、鈴木君やハワード君は、もうそのメルアドは使ってなくて、失効していて、そして赤の他人が同じメールアドレスを取得できる状態としたら？（それが可能かどうかはメールサービス事業者による）
2. そして鈴木君やハワード君がiTunesストアで使ったクレジットカードはまだ有効期限内だとしたら？（一般に、クレジットカードの有効期限は3年とか5年とか、結構長い）
3. そのクレジットカード番号はPC内のiTunesソフト上ではなくiTunesストアのサーバ上に保存されているとしたら？（たぶんそうだと思うんだけど）
4. 赤の他人が例のメールアドレスを取得しなおして、iTunesストアで「パスワード忘れ」の手続きを踏んでメールを受け取り、パスワードを再設定したら？

しかしそれにしても、責任をもって対処すべき者は誰なのだろう？ ユーザー？いやあ、うーん。このケースではそうともいえるし、そうとも言えない。 少なくともいまのiTunesストアのIDとパスワードの管理画面の設計思想には問題を感じる。 大人の事情を重ねるうちに混乱してしまったID体系そのものについても、だ。

あと、購入ボタンを押したときにクレジットカード決済の場合はその都度下4ケタぐらいいちいち打たせる、っていう程度のハードルはつけたほうがいいんじゃないの？ それだとユーザビリティ下がるっていうんなら、せめて、クレジットカード（の下4桁）情報のサーバー上での保存を前回入力時から24時間とか48時間といった有効期間を設けて再入力欄出す出さないを制御するとか、方法はいろいろある。有効期間という概念の重要性と有用性については前回書いたさくらインターネットの例のとおりだ。

なお、以上の話はすべて、ほかにも沢山あるであろう仮説のうちのひとつに過ぎない。

see also:

• メールアドレスが漏洩してると決めつける迷惑な人々 (2006/7)
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々　(2008/9)
• 拝啓 消費者支援機構関西 様 (2008/9)

追記：

• 赤の他人が普通に銀行口座をつくったら、自分の成りすましだ！と大騒ぎするオトナが約一名の巻 (2010/3)