トップ > misc > 情報の入力は慎重に、という話

情報の入力は慎重に、という話

misc

取得したまましばらく放置していたメールアドレスがあった。ふと思い出して受信メールを確認してみると、よくわからないメールが何通か届いていた。差出人はすべて同じで、1 通目はこうなっていた。

アカウント登録完了のお知らせ? え?
PlayStation Network (PSN) は PSP/PS3 ユーザ向けのネットワークサービスだ。僕も PSP から使うためにアカウントを作ったことがあるけど、もう何年も前のことだ。いったい何が起きているのか?

それはセルフ情報漏洩だった

開封してみた。メールには、アカウントを登録した人のものと思われる名前と、PSN のサインイン ID が書かれていた。

名前にはまったく見覚えがなかったが、サインイン ID として書かれているのは僕のメールアドレスだった。どうやら、誰かが僕のメールアドレスを使って、PSN のアカウントを作ったものと思われた。
受信メールの一覧を再度見てみると、その後も PSN からの「お知らせ」がすべて、僕のところに送られてきていたことがわかった。

メールの中身を確認してみると、「購入明細」のメールには、ゲームを買ったり有料サービスを契約したりしたことが書かれていた。「ウォレットへのチャージ (お金を払って、PSN 上でのみ利用できるポイントを購入すること) 完了」という方のメールには、クレジットカード番号の一部が書かれていた。正確には、最初と最後の 4 桁ずつだけ数字が見えていて、間の 8 桁は "*" でマスクされていた。

アカウントを作った本人は「メアド? 適当に入れちゃえ」みたいなノリだったのかもしれない。後々通知のメールが送られてくるなんて知らなかったに違いない。ゲームを楽しんでいる裏で、自分のせいでプチ情報漏洩してるなんて思ってもいないだろう。
メール本文に、心当たりがない場合は問い合わせ窓口へ、と書いてあるので、知らせてみることにした。「実はこれフィッシングでした」みたいな話だと困るので、念のためメール内のリンクは踏まず、PSN のサイトをググって問い合わせ窓口を見つけた。フォームから「こんなメールがウチに届いてますよ。できたら本人に教えてあげてください」的なことを書いて送信したところ、2 日ほどして、PSN の運営元である SCE からメールが届いた。メールがもうこちらに来ないように手続きをしてくれたということだった。よかったよかった。

その後 SCE がどうしたかは知らない。「できたら本人に教えてあげて」なんて書いたけど、そんな方法があるのかもわからないし。

以下、今回思ったことをいくつか。

システム開発者として考えると

そもそも他人のメールアドレスでアカウント登録ができてしまうのは、利用者に優しくないのではないか。今回僕のメールアドレスでアカウントを作った人は、たぶん通知メールが来るなんて知らないまま PSN を使い続けていたわけで、その間他人に情報が送られているとは思っていなかったと思われる。

最近のシステムでは「入力されたメールアドレスにいったんメールを送り、その中のリンクを利用者が踏むとアカウント登録が完了する」みたいな方式が当たり前になっている。PSN もそうすればいいと思う。もしかしたら「さくっと登録が終わった方が利用者に優しいよね」などと考えたのかもしれないが、だとしたら逆効果になっているように思う。

システム利用者として考えると

この手の情報を登録するとき、僕はなんとなく「もし入力した情報が間違っていたら、エラーが出るとか訂正依頼のお知らせが来るはず」と思っている気がする。しかし今回の事例は、うっかり (あるいは意図的に) 間違った情報を入力しても、そのことに気づかないまま過ぎてしまう場合もあるのだ、ということを示している。

悪用したらどうなっていたのか?

今回は何もせずに SCE に知らせたので、誰も痛いを思いをしていないはずである。しかし、悪用しようと思えば、できてしまっていたかもしれない。

PSN のサイトにあるサポート情報によると、PSN へサインインする際のパスワードを忘れた場合、再設定の方法は 2 つある。ひとつは「秘密の質問」に答えるというもので、これはいいんだけど、もうひとつは「再設定するためのリンクをメールで送ってもらう」というものだ。つまり今回の場合、僕はこの人のサインイン ID を知っていて、メールアドレスも僕のものなのだから、手元の PSP を使って勝手にこの人のアカウントのパスワードを再設定する――そしてログインすることが可能だった。

もうひとつ、これは可能性としては低そうだけど、ソーシャルハックと組み合わせることで、もっと他にも悪用できたかもしれない。僕の手元には、アカウントを作った人の氏名 (らしきもの) と、クレジットカードのうち 8 桁がある。例えばその人の名前をググった結果、どこかの会社の社員であることがわかったとする。その会社に電話をかけて次のようなことを喋った場合、どうなるだろうか。

こちらは VISA のサポートセンターです。◯◯さんですか? 実はあなたのクレジットカード情報が破損している可能性がありまして、復旧するにはご本人の確認が必要なのです。あなたのクレジットカード番号は、最初の 4 桁が XXXX、最後の 4 桁が XXXX ですね。残りの 8 桁と、有効期限をお答え頂けますか?

まぁ、若干考えすぎかもしれないが。

対処したって言ったじゃないか

SCE 問い合わせ窓口からのメールでは「今後は“PlayStation Network”からのメールが送信されないよう、手続きをさせていただきました」と書いてあったけど、実はその後、一度だけまたメールが来た。

有料サービスの契約からちょうど 1 ヶ月たって、ウォレットに残額がなかったので解約されたらしい。
もしかしたら手続きとしては本当にちゃんとやっていて、何かシステム的な都合でこのメールだけは止められなかったのかもしれないが、そうならそうと最初から言ってくれればよかったのにと思う。
もともと僕の方では特に困っているわけではなく、「見てみぬふりをするのもどうかと思うから、一応知らせてみよう」というだけの話だったのに、「止めました」と言われたはずのメールがまた来ると「何だよー」という気分になってしまう。