4桁の暗証番号で借金できるクレジットカードの危うさ
最近聞いた話として、カードローン機能付きの銀行系クレジットカードを誰かに盗まれたうえに、ATMにて不正にカードローンを利用されたという話があった (本当に不正なのかは確認できないが)。
お恥ずかしい話だが、カードローンなるものをつい最近まで知らなかった (キャッシングは知っていたけど)。自分自身の所持しているクレジットカードにもそのような機能がついていることを正確に認識していなかった。銀行のキャッシュカードでも、口座開設時の契約によってはクレジットカード機能だけでなく銀行独自のカードローン機能が付加されている場合があるようで、口座開設後でもたいていの銀行ではカードローン機能を付加することができる。1枚のカードで、キャッシュカード、カードローン、デビッドカード、キャッシュカード、電子マネーなど様々な機能を利用できることを、程度の差こそあれ銀行は積極的にアピールしている。
人それぞれだろうが、私はそんな「利便性」にちっとも魅力を感じない。お金を借りる必要がしばしばある人にはいいことなのかもしれないが、不正利用される危険のほうがずっと心配な人には脅威でしかないだろう。クレジットカードは、買い物が出来ればそれでいい。キャッシュカードは、預金の出し入れと振り込みが出来ればそれでいい。そう思っている人たちに、お金を借りる機能の存在、危険性、解除する方法などが適切に説明されているだろうか?おそらくそうではないだろう。
冒頭の話においては、誰かに不正利用されたと主張する当人が銀行に電話をしてみたら、「たとえカードを盗まれても暗証番号を知らなければカードローン機能は他人に利用されないはずで、何者かによる不正利用とは認められない (当人の故意か過失としか考えられない)。利用した金額は返済してもらう。」との返答だったという。まあ、そんなものだろう。実際に不正利用だったのか、当人 (あるいはその周辺人物) の故意なり過失があったのか、本当のところは分からない。しかし、たかだか4桁の暗証番号にきわめて重要な意味を持たせていることが、この事例からも見いだすことが出来る。
暗証番号に関するクレジットカード会社の規約
そういえば今年 (2006年2月) は預金者保護法が施行されたのだから、一定の条件を満たせばきちんと保護されるのではないか? と最初は誤解した。しかしよく調べてみると、クレジットカードは法的保護の対象とはなっていない (独立行政法人 国民生活センターの2006年9月6日報道発表資料「クレジットカードのスキミング等の不正使用に関するトラブル」 などの情報より)。保護されるのは、銀行のキャッシュカードか通帳を用いた、ATMにおける取引だけである (キャッシュカードで利用するカードローンは含まれる)。2年後には法律の見直しが行われるそうで、今後の法律改正が待たれる。
ただし、法的保護はなくてもクレジットカード会社が自主的に補償制度を設けていれば問題ない。かなり多くのクレジットカード会社では、暗証番号を使われた上での被害だとしても、利用者に非がないとカード会社が認めれば負担を求めない条項を規約に盛り込んでいる。3社の規約を引用して以下例示する。
第7条(暗証番号) 1. 会員は、カードの暗証番号(4桁の数字)を両社に登録するものとします。ただし、会員からの申し出のない場合、または当社が暗証番号として不適切と判断した場合には、当社が所定の方法により暗証番号を登録し通知します。2. 会員は、暗証番号を他人に知られないように善良なる管理者の注意をもって管理するものとします。カード利用の際、登録された暗証番号が使用されたときは、その利用はすべて当該カードを貸与されている会員本人による利用とみなし、その利用代金はすべて本会員の負担とします。ただし、登録された暗証番号の管理につき、会員に故意または過失がないと両社が認めた場合には、この限りではありません。3. 会員は、当社所定の方法により申し出ることにより、暗証番号を変更することができます。ただし、ICカードの暗証番号を変更する場合は、カードの再発行手続きが必要となります。
JCB会員規約(個人用)
第4条(暗証番号)
(1)お申込み時にお届けいただく暗証番号は、生年月日・電話番号等他人に容易に推測される番号を避け、ご本人以外の方に知られないよう注意していただきます。
(2)ご本人以外の方に暗証番号を知らせ、又は知られたことから生じた損害は、会員のご負担といたします。但し、会員の故意又は過失のなかったことが当社で確認できた場合は、会員のご負担とはなりません。
(3)会員から暗証番号の届出がない場合には、当社が所定の方法により暗証番号を登録する場合があることをご承諾いただきます。
《セゾン》カード規約
第4条(暗証番号)
(1) 当社は、会員より申出のあったカードの暗証番号を所定の方法により登録します。暗証番号が登録されるまでの間は、ご利用いただけるカードの機能が制限されることがあります。また、会員は暗証番号が本人確認用の番号であることを認識し「0000」「9999」および生年月日、電話番号、自宅住所等から推測される番号以外の数字を選択し登録するものとします。なお、会員から暗証番号の申出がないときは、当社が定める暗証番号を登録させていただく場合があり、この場合は会員にその旨を通知します。また、会員から申出のあった暗証番号について当社が不適切と判断した場合は、当社の別に定める暗証番号を登録させていただく場合があり、この場合会員にその旨を通知します。
(2) 会員は、暗証番号を他人に知られないよう、善良な管理者の注意をもって管理するものとします。登録された暗証番号が他人により使用された場合は、その損害は会員の負担となります。ただし、登録された暗証番号の管理について、会員に故意または過失がないと当社が認めた場合は、この限りではありません。
NICOSカード会員規約
この他、UFJカード、DCカード、ライフカード、オリコカード、ダイナースクラブカード、アメリカン・エキスプレス・カード、Yahoo!カードなどにも同様の条項がある (余談だがWeb上に掲載されている規約の見つけやすさにはカード会社によってかなりの差がある。オリコカードについては入会申し込み開始時のページに載っているのをやっと見つけたので、それに直接リンクを張っている。なお、VISA、MasterCardについてはネット上で規約を見つけられなかったが、これらは他のカード会社が発行しているものを利用するだろうから、そちらの規約が適用されるはずである。)
一方で、利用者に非がない場合でも補償してもらえなさそうな大手クレジットカード会社も少数だが存在する。
第8条(暗証番号)
1.当社は、本会員より申出のあったカードの暗証番号を所定の方法により登録します。但し、申出がない場合または当社が定める指定禁止番号を申出た場合は、当社所定の方法により登録します。
2.会員は、暗証番号を他人に知られないよう、善良なる管理者の注意をもって管理するものとします。カード利用にあたり、登録された暗証番号が使用されたときは、当社に責のある場合を除き、本会員は、そのために生ずる一切の債務について支払いの責を負うものとします。
三井住友VISAカード&三井住友マスターカード会員規約(個人会員用)
第4条(暗証番号)
1.当社は会員からのお申し出により、カードの暗証番号(4桁の数字)を登録するものとします。ただし、下記に該当する場合は、当社所定の方法により登録するものとします。
(イ)会員からのお申し出のない場合。
(ロ)当社が禁止している番号のお申し出があった場合。
2.会員は、暗証番号を第三者に知られないよう善良なる管理者の注意をもって管理するものとします。
3.カード利用に当たり、登録された暗証番号が使用されたときは、第三者による利用であっても、当社に責がある場合を除き、会員はそのために生ずる一切の債務について支払いの責を負うものとします。
UCカード 会員規約
この他、livedoor カード (三井住友の規約をそのまま適用) なども同様である。いざ被害に遭った利用者がカード会社に連絡しても、反応はきっと芳しくないだろう。こうした要素もカード選びの重要な考慮点となる。
少々興味深いのはりそなカードで、「りそなカード《セゾン》」と「りそなJCBカード」は前者に倣い、「りそなVISAカード」と「りそなUCカード」は後者に倣っている。同じりそなカードの利用者でもこの条項が運命の分かれ目となる可能性があるのだが、入会時にそうした違いをきちんと説明している可能性はおそらくほとんどゼロだろう。冒頭の話というのは、実はこの後者に該当していた。
Yahoo! は前者、livedoor は後者であるのを見て、楽天はどうなの?と思う人も多いだろう。楽天カードの例を真打ちとして以下示す。
第3条(暗証番号)
(1)当社は、会員より申出のあったカードの暗証番号を所定の方法により登録するものとします。ただし、会員からの申出がない場合は、当社所定の方法により暗証番号を登録するものとします。
(2)会員は、暗証番号を「0000」「9999」および生年月日、電話番号等他人から推測されやすい番号を避け、また他人に知られないよう善良なる管理者の注意をもって管理するものとします。
(3)カード利用の際、登録された暗証番号が使用されたときは、暗証番号について盗用その他事故があっても、そのために生じる一切の債務について会員が支払の責任を負うものとします。
楽天カード会員規約 (リンク不能な入会申し込み画面より引用)
楽天側に重大な責があったとしても補償しないつもりなのだろうか? (ついでに言うと、楽天の奇異な規約はこれだけではない。楽天ブログの利用規約でも著作権に関して他のブログサイトでは見られない不利な条件を課していたりしている。他にも楽天に言いたいことはいろいろあるのだが、楽天のサービスは注意して利用すべしとだけ言っておく。)
繰り返すが、現状として4桁の暗証番号はきわめて重要な意味を持ってしまっている。プログラミング関係の著書がある大垣靖男さんのブログ記事「yohgaki's blog - カード暗証番号入力の問題 (2005年4月4日)」にも書かれているとおり、クレジットカードの利用においては、署名で済む場面では署名で済まし、暗証番号は入力しない方がよい。暗証番号を盗まれてしまうと、不正利用された際の状況が著しく不利になってしまう可能性がある。そうしたリスクは出来るだけ避けたいものだ。
三井住友カードのインターネットサービス「Vpass」における暗証番号
さて、産業技術総合研究所の高木浩光さんのブログ記事「飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき(2006年8月10日)」「三井住友カードのCAPTCHA風無意味画像は月替わり?(2006年9月30日)」においては、三井住友カードのログイン画面におけるCAPTCHAの実装が不適切でセキュリティ向上につながっていないという指摘がなされている。
CAPTCHAというのは、人手を介さない自動プログラムを用いた機械的なアクセスを排除するための仕組みで、機械では読み取りにくい文字を書いた画像を表示し、その文字をユーザ名やパスワード等とともに入力してもらうことによって、文字を読める人間がアクセスしていることを確認するためのものである (詳しくはWikipedia日本語版「CAPTCHA」などを参照)。機械的な掲示板荒らしや無料メールアドレス取得などを防ぐ際に用いる対策である。ただし高度な画像認識能力を併せ持つプログラムには無力のため、あくまで補助的な対策として認識されるべきものである。
三井住友カードでは、当初はクレジットカードの16桁の会員番号と4桁の暗証番号だけで、インターネットサービス「Vpass」が利用できるようになっていた。その後CAPTCHAが導入され、また、第三者に類推されやすい暗証番号でのログインは2006年8月21日より出来ないようにしたという。
この三井住友カードの事例において、CAPTCHAを導入して機械的なアクセスを排除しようとする目的として素直に思いつくのは、暗証番号を0000から9999まで総当たりで機械的に試す攻撃に対する防御である。しかし、こうしたログイン画面では、3回なり5回なりログインに失敗すれば、ただちに利用停止の措置を取るのが普通である。さらに、クレジットカードの場合はネット以外でも同じ暗証番号を用いるのだから、そのクレジットカードの利用全体を停止すべきである。そうした普通の対策をせずに、CAPTCHAというその場しのぎの対策を施していたのだろうか?本当のところは分からない。
(この段落10月9日19時頃追記、20時頃修正) 暗証番号だけでなく、16桁の会員番号も機械的に変化させてアクセスする試行もあり得る。個人情報が流出して、生年月日、電話番号、住所などの情報も入手できていれば、暗証番号を的中させる確率を (機械的に) 向上させることができる。第三者に類推されやすい暗証番号を8月からログイン不可とした理由の一つはそれかもしれない。
高木浩光さんのブログ記事では、そもそも三井住友カードがCAPTCHAを導入した理由について、「何の目的で導入されたのかについては言わない」「どのような危険なのかはまだ言うわけにはいかない」としている。また、「身に覚えのない請求に対して不正使用ではないかと申し出たときに、もし、暗証番号を使用した決済であることを理由に、本人による使用だと見なされるようなことが起きたら、このシステムが原因である疑いがある」とも記している。暗証番号について何らかの重大な危険が生じていた (あるいは生じている) ことは確かなようだ。(「あるいは生じている」は10月10日追記)
なお、先に述べたように、三井住友カードの規約では、「当社に責のある場合を除き」、暗証番号が使用されたときに生じる一切の債務について、利用者が支払いの責を負うことになっている。(以下10月9日19時頃追記) そもそも、利用者に非がない場合の救済が規約に明示されていないのに、クレジットカードの会員番号と暗証番号だけでログインできるWebインタフェースが存在すること自体、何かの危険を疑った方がよいかもしれない。
コメント