potatoさん
VIEW
ゆうちょ銀行のWEB口座とmijica関連のセキュリティを高木先生が検証「推奨環境がFirefox3」
さて、ようやく重い腰を上げて、ゆうちょ銀行に口座を作ってきた。これでいろいろ確認できるぞと。通帳には、口座番号と名義人名の他は、謎のバーコードに記載の数字列が2つあるのみ。最終残高は0。 https://t.co/3EPZ6QOnyS
通帳を作る際の本人確認(と称した身元確認)は運転免許証を用いたが、マスクを取れと言われなかったので、顔の照合はしていないようだ。(あるいは、確認することになっていてもやってないのか、目だけで確認できる場合もあるということなのか、怪しい場合にだけ確認するのか?)
口座開設申込書は、事前にWeb入力で作成し手元で印刷できるようになっていたので、手書き部分がない。今回の一連の事件で筆跡が云々という報道があったので変に思っていたが、窓口で届出印を届け出る用紙を作成する際に、住所氏名等を記入するところがあり、そこが手書きとなった。
早速、個人データの利用目的が怪しい。「カード利用日、利用店、利用額及び商品名」とあるが、その利用目的が「本サービスの提供及び会員管理を目的として」としか示されていない。クレディセゾンに第三者提供するとはあるが、その目的の記載がない。
https://t.co/F6x6zOiB6r https://t.co/1wdG6WT3jT
次の画面で「ネット口座振替受付サービス」との画面に移行するが、ドメイン名が bc-pay. jp と、何者かの説明が一切ない。申し訳程度に左上角に「株式会社ゆうちょ銀行」との文字列があるが、だから何なんだ?という感想しかない。そのくせ金融機関を選択しろというのがもう意味不明。 https://t.co/PEpDJV7ZvB
「これより先はゆうちょ銀行サイトへ遷移します。」だって。じゃあお前は誰なんだよ?
「※ブラウザの戻るボタンは使用しないでください。」とか、ああぁぁ!ウォーターフォールの音ォォォ! https://t.co/xCOs3wMbUW
「ゆうちょ銀行サイトへ遷移します」のはずだったが、遷移したのは、net-koufuri. jp というこれまた誰?というサイト。やはり左上に申し訳程度に「ゆうちょ銀行」のロゴが貼られているが何ら信用できない。 https://t.co/CNtQhzvEmh
ここに「【重要】不正にポップアップ画面を表示させる等によって、認証情報を盗み取ろうとする犯罪にご注意ください。」と書いて何の意味があるんだか?
t.co/tIlKsDkNUA
「即時振替規定」を読めとなっているが、表示された即時振替規定は、「当行」と言っているけれども、誰のことなのか、末尾まで読んでも一切記載がないという、匿名の「当行」を当事者とする謎の契約となっている。ふざけた法務だな。 https://t.co/0djrg34MK1
「同意事項」ボタンを押すと、「等の情報が、収納加入者における商品・サービス提供のため、貴行から収納加入者に提供される」と出るが、「承認を受けた収納加入者」というのがもう、何を指しているのか全く不明。第三者提供? 委託でなく? ていうか、ゆうちょ銀行からゆうちょ銀行への提供??ハア? https://t.co/6Yi5xVvUEQ
その「承認を受けた収納加入者」というのが、下を読めば、「当行がこのサービスに係る承認をした加入者(以下「収納加入者」といいます。)」のことであるらしいことは推測できるが、順番が逆じゃ失格な。という以前に、「当行がこのサービスに係る承認をした」ということの意味が普通はわからない。 https://t.co/iAWgSHa3HW
この先頭の「1」と末尾の「0」をわざわざ省かせる意味は何なの? クソなだけでは? https://t.co/tHYLEo96EV
「収納機関名 株式会社ゆうちょ銀行」て、自分自身のことを「当行がこのサービスに係る承認をした加入者」と言っていいんですかねえ?
t.co/Ae1oKQXOfW
出たー、ソフトウェアキーボード(笑)。何の意味があるの? しかもここだけ? さっきの数字は? https://t.co/NFlzChz5k0
「以下の項目をすべて入力または選択してください。」と言うけど、「選択」するものは存在しないよ? https://t.co/PCFvTkvwTP
キャッシュカード暗証番号を入力することが「本人確認のため」だってさ。ていうか、「必ず入力してください」もナニも、入力しないと進まないじゃん。 https://t.co/myiBVZtJ38
暗証番号を無駄に保持する画面挟むの、やめなよ。 https://t.co/5xe5OJKQkR
どんだけ急いで進めないといけないの? 規約とか熟読してたら許されないの?😠
t.co/r2H7zcrAqt
もう一回最初からやり直しだよ。
ありゃ?最初の画面で即座にこれ。どうなってる? https://t.co/h8Oj7gEhYG
cookieを削除したら再開可能。普通の人はそんなんわからへんで。 https://t.co/2MUFpsY3Wn
暗証番号を入れると一瞬で認証完了。
つまり、ここまでに入力した、口座名義氏名、生年月日、口座番号があれば、リバースブルートフォースで暗証番号が特定される口座が少なくない割合で出てしまう。 https://t.co/9W1zMTNJWY
「次へ」を押すと、このウィンドウ(タブ)に戻る。(さっきのタブを閉じていたらどうなっていたんだろう?)
なぜか「性別」が必須のようだ。ゆうちょ銀行口座の開設では性別の無記入は許されたのに。 https://t.co/h7c9VYUQPl
「ゆうちょからのお知らせメール配信希望」というのがどういうお知らせなのわからん。取引の通知という重要なお知らせなのか、クレディセゾンからのどうでもいい宣伝が来るのかも不明。
t.co/7lFjR3sVHh
ここの暗証番号入力では、ソフトウェアキーボード(笑)はないんだね。
t.co/7lFjR3sVHh
今どき、パスワードの長さ制限とか。16字以内とかアホでしょ。「英数字を最低1文字ずつ組み合わせ」もナンセンス。使える記号が「-」「=」「@」「_」のみってのもどういう事情なの?(記号入れる必要もないけどね。)
t.co/7lFjR3sVHh
「配偶者有無」とか「職業」とか「店舗コード」とか入れされる目的(個人データの利用目的だよ)がさっぱり不明。どうせクレディセゾンのマーケでしょ? 個人情報保護法18条2項(直接書面取得時の利用目的明示義務)違反では?
t.co/7lFjR3sVHh
Safariの自動生成パスワードがそのまま使えるのはまあ合格。 https://t.co/lwUTch4vmE
完了してしまった。電話番号にゆうちょ銀行口座とは別の電話番号を指定したのに通ったので、電話番号は認証要素に使われていない。
つまり、口座名義氏名と生年月日と口座番号と(リバースブルートフォースで特定された等の)暗証番号があれば、即時振替が設定できてしまう。 https://t.co/bcDlGRnH7Q
「カードがお手元に届くまでの間は、mijica WEB等からチャージは行わないでください。」というのは、なぜなんだろうね。
t.co/MxOkJKfUrE
ログイン画面。「/PPD/CS110100」このパス名がもうウォーターフォールの音ォ。 https://t.co/LXfGlvIna8
まずは「ログインIDを忘れた場合はこちら」へ。
mijicaカードが必要なようだ。裏面のカードIDのことではなく、プリペイドカードのカード番号。これを知られている場合はそもそもアウトなわけだが、CVVや3Dセキュアが要らないので、リスクはある。ただし登録済みのメールアドレスにID通知なので普通。 https://t.co/vCltIx6y2c
ただし、カード番号・有効期限が知られていて、生年月日・電話番号が知られていない場合に、検索機能と化す可能性があるが、「ログインID通知依頼」ボタン押下後の画面が、エラー表示しないならセーフ。(今はカードがないので試せず。)
t.co/SIvg2KJjXg
次に「ログインパスワードを忘れた場合」の画面。ハイ、存在するIDの検索機能。 https://t.co/RjJd9jti0e
「パスワードリセットを行」うそうで、氏名、生年月日、電話番号が要求されるが、入力個人データの検索(検証)機能と化しているように見受けられるが、同じメールアドレスに対する繰り返し検証のロックアウトが実装されているかどうか。未確認だが、30回くらいは押せた。 https://t.co/A1hmy64iZX
あれ?正しい内容を入れても「入力された内容が正しくありません」となる。ハテ?
t.co/eGlschJWS0
ログイン後。「ログアウト」ボタンが20世紀の香り! https://t.co/jeZViAihrD
なぜか登録氏名の「漢字」が「カナ」と同じになってる。さっきのパスワードリセットができなかったのはこれが原因だな。どうしてこうなった。 https://t.co/kmPkNyx93X
「姓・名(漢字)」はさっき「ゆうちょ口座の名義(姓・名)が登録されます。」とあったのだが?
t.co/q5oHwOKeAQ
パスワードリセット機能の確認へ。漢字にカナを入力。「リセット依頼完了」でメールが届く。ギャー、初期パスワードが生で送られてきたぞ。8文字かよ。それでログインすると、初期パスワード変更画面。まあ、秘密キー入りワンタイムURLを送るのと同じと言えば同じだが。(初期パスワードは使用済み) https://t.co/DAAEU5waOU
新しいパスワードを設定すると、確認画面。確認せんでよろし。無駄な画面挟むなってば。そしてなぜか「TOPへ」を押すと、スマホ用画面になってしまい、元に戻れない。テストしてないやろ。 https://t.co/Jw36aegzsO
適当にメニューのリンクを辿ったらPC画面に戻った。なんやこれ。 https://t.co/jHoLC9GMo5
登録情報を変更したいのにメニューには「各種情報照会」としか書かれておらず、なんの情報を照会するのかもわからない上に、変更機能があるのかもメニューから不明。入ってみるとタイトルが「各種情報照会・変更」となっていてチグハグ。全く直す気ないんだろうね。 https://t.co/psDwOF3I5E
メールアドレスの変更機能。ログインしていればそのまま可能。変更後のアドレスに来たメールのリンク先にアクセスすれば完了。変更前のアドレスには通知のメールが来るだけで、止めることはできない。しかも、未完了の時点で「完了しました」と通知が来る。 https://t.co/fkQB202QCp
変更後アドレスに来たキー入りURLにアクセスする前(つまり、メールアドレス変更が完了していない)時点で、ログアウトし、ログインが元のIDでログインできるか確認。→ これは確認できた。変更前アドレスには「メールアドレス変更の手続きが完了しました」とあるのに!
この状態で、変更後アドレスのキー入りURLにアクセスすると……ログイン中だった画面はまだ生きている。ID変わったのに? あれ?ログアウトしてログインすると、前のIDでログインできるぞ? https://t.co/kDb3iWHFYf
変更後のメールアドレスをIDにするとログインできない。おいおい、メールアドレス変更って、連絡用アドレスが変わるだけで、ログインIDは古いメールアドレスのままなのか。ログインIDの変更はできないようだから、古いメールアドレスを使い続けないといけないのね。 https://t.co/pVu4hiEabE
「カード情報照会」画面で、mijica(プリペイド又はデビット)カード番号の下4桁と有効期限を知ることができる。(まだ手にしていないのに。) https://t.co/RGWusGzKSV
「本人認証サービス情報登録」という機能があるが、なんのことやら? 3Dセキュアのことかな?と推測できるが、普通はさっぱりわからんだろうね。 https://t.co/M2MS8mxhBn
このパスワードが曲者で、Safariに覚えさせておけない。設定するドメインと利用するドメインが別だからね。
「パーソナルメッセージ」もナンセンス。「偽のサイトでないことを確認するため」と言っているが、中継されていたら終わり。十数年前から指摘しているが、治らず。
t.co/98ZPQZh6FH
「今すぐチャージ」、ログインしていれば追加認証なしに可能。今回の事件で「99,000円」だったのは、上限が99,000円だからか。エラーになるのは「貯金残高をご確認ください」とあるように残高0のため。 https://t.co/6YyGpFa0Wz
「ポイント交換チャージ」を押すと「セゾンポイントモールのサイト」が開き、なぜかログイン中になっている。「登録情報変更」の画面に行くと、なんと氏名・生年月日・メールアドレス(変更前)が登録されていた。郵便番号が000-0000なのは、さっき「店舗コード」の入力を拒否したからやな。違法やろ。 https://t.co/yHtQepVIWY
つまり、さっきのこの画面で(ゆうちょ銀行に対して)入力を促された「店舗コード」から、勝手に居住地郵便番号に変換して(みなして)クレディセゾンが登録しやがった。個人情報保護法17条(偽りその他不正の手段により個人情報を取得してはならない)違反。
t.co/4MH8bomO9F
それで、このサイトでログアウトすると、ログインできるの?「ログイン」を押すとこのメニュー。「セゾンポイントモール」かな? https://t.co/XR4cx0kS8x
さすがに、majicaのID・パスワードでログインできるわけではないようだが、本当にそうか確信が持てないな。 https://t.co/slGf1TmH0t
それで、mijicaで買い物をすると、買い物履歴をクレディセゾンに持ってかれるということかね? そういうこと、ゆうちょ銀行は、わかりやすく説明しているかね? 規約でもそうとは読み取れないアウトな規約のようだったが。
メールアドレスの変更機能、さっき変更した元のアドレスに再度変更したところ、キー入りURLは送られて来ず、ボタンを押しただけで変更が処理された。一度到達確認したものは再確認せず登録されるということか。(それともログインIDと同じだから省略なのか。) https://t.co/VcRXI4qs4m
「セゾン永久不滅ポイントからの移行」というのを試してみた(別アカウントの永久不滅ポイントからの移行)が、「交換完了後、『ネット限定アイテム交換履歴』ページにてギフト券番号をご確認ください。」というのが意味不明で、完了できず。 https://t.co/kj1y5Kvixs
セゾン側からのポイント移行では、「電話番号認証」が必要となっており、発信者番号通知で通知される電話番号と登録電話番号との一致が確認される。一定時間以内のトランザクション中の電話番号と照合されるのであろう。(生年月日を入れるのはあまり役に立たないのでは。) https://t.co/npq2l21rKA
おっと、さっきは「「ネット限定アイテム交換履歴」ページはこちら」を見落としたかな。リンクがあった。 https://t.co/kLHmOgoNDv
というわけで、ポイントは移行できたが、こんなん、ポイントマニアとか、日頃から永久不滅ポイント使いこなしてる人でないと、わけわからんやろうな。 https://t.co/3PPhB6s0UO
利用限度額を少なく設定した後、増やす設定を試みたところ、ログイン中であれば追加の認証等なしに、マックスに設定ができる。 https://t.co/cVg0eewNJf
つまり、この限度額設定は、カード紛失時の不正利用対策ではあっても、mijica Webが不正ログインされ得ることは全くの想定外ということだ。
t.co/aVDBUE4wvA
とはいえ、カード盗難と、Web不正ログインとが、同時に起きないのであれば、まあ、セーフとも言えるか。
t.co/AOcKumlt8a
「おくってmijica」はメニューごとなくなっているようだ。 https://t.co/MAdU2AI65O
あれ?Safariが自動生成・入力してるパスワードは20文字あるのに、16文字制限?どうなっているの?
t.co/bMVwUS5dqs
mijicaの凄いところ見っけ。取引履歴照会の判例が、
西暦の場合 例:「1990年1月1日」→「19900101」
和暦の場合 例:「昭和5年1月1日」→「050101」
えっ、昭和5年? https://t.co/NVfHJcUrVG
コメントを投稿する