拡大写真 ANAマイレージクラブ会員サイトのトップページ。アクセスするには会員IDとパスワードが必要だ(写真:産経新聞)【衝撃事件の核心】 今や当たり前に利用されるインターネットのポイントサービス。もし貯(た)まったポイントが、知らぬ間に他人に使われたら-。知人の個人情報を使って全日空の会員サイトにアクセスし、勝手に「マイル」ポイントでネットショッピングを繰り返したとして、不正アクセス禁止法違反などの疑いで、会社社長の男が警視庁に逮捕(既に起訴)される事件があった。会員登録時の本人確認義務がない現行法の盲点を突いた犯行で、他人になりすましてポイントを自由に操作できるというシステムの弱点も露呈。業界からは利用者の自己責任を求める声も上がるが…。(福田涼太郎) ■米沢牛に高級プリン…60万円分を“大人買い” 警視庁によると、逮捕・起訴されたのは、東京都町田市の経営コンサルタント会社社長、山崎光春被告(52)。 起訴内容は、平成20年6月17日から今年1月12日までの間に行った以下の3つの行為に対するものだ。 (1)仕事上で付き合いのあった会社社長の男性(52)の会員IDとパスワードを使い、自分の会社のパソコンから男性になりすまして、全日空の会員サイト「ANAマイレージクラブ」に不正接続した不正アクセス禁止法違反罪 (2)全日空とネットポイント制度で提携している楽天の会員に男性名義で登録し、貯まっていた男性の66万マイルポイント(66万円相当)を、通販サイト「楽天市場」などで使うことができる「楽天スーパーポイント」(66万円分)に無断で交換した電子計算機使用詐欺罪 (3)不正接続をした直後、男性のパスワードを勝手に変え、それを使った私電磁的記録不正作出・同供用罪 ちなみにマイルポイントは、搭乗距離などに応じて貯めることができ、ポイントで全日空の航空券を購入できるほか、提携会社のポイントとも交換できる。楽天とは1ポイント=1円換算での交換が可能だ。 山崎被告は交換した男性のポイントを使って楽天市場やインターネットオークションなどで、米沢牛や高級プリンのほか、地球儀、キックボード、プリンター、ペットのエサなど計77品(約60万円相当)を“大人買い”していたという。 「ここまで巧妙な事件は初めて」 全日空の広報担当者は、山崎被告が男性の個人情報を相当数把握していたことなどに触れ、事件の特異性を強調する。 だが、逮捕のきっかけは「巧妙」とはかけ離れた単純なものだった。山崎被告が勝手にパスワードを変えたため、男性が会員サイトにアクセスできなくなり、全日空に問い合わせたのだ。 パスワードを変えたことについて、山崎被告は逮捕時に「自分が使いやすいよう変えた」と供述したというが、事件は発覚するべくして発覚したといえる。 問い合わせを受けた全日空は昨年12月に警視庁に相談。購入された商品の送り先が山崎被告宅になっていたことなどから山崎被告が捜査線上に浮かび上がり、4月26日に逮捕された。 ■ウソ電話でID聞き出し…数種類のPWを打ち込む そもそもなぜ、山崎被告は男性になりすまして全日空の会員サイトに接続することができたのか。 全日空によると、会員がANAマイレージクラブのサイトに接続するには、10桁(けた)の会員IDと4桁のパスワードを入力しなければならない。 警視庁の調べでは、山崎被告は不正アクセスを始めた直前、男性を装い「(会員IDが印字されている)カードが手元にない」などと全日空にうその電話をかけ、男性の住所や生年月日などを告げた上で会員IDを聞き出した。 パスワードは男性の生年月日だったが、同サイトで男性の会員IDを入力した上で、数種類のパスワードが入力された形跡もあったことから、山崎被告が推測して割り出したとみられる。 山崎被告は男性から会社事務所の合鍵を渡されていたといい、男性の個人情報を簡単に知りうる立場だった。また、事前に男性のマイルポイントが貯まっていることも知っていたという。 警視庁によると、山崎被告は「男性への債権が思うように回収できなかったところ、男性から『マイルポイントで(債務を)支払ってもいい』と言われた」と、男性の承諾があったとする趣旨の供述をしている。 だが、捜査幹部は「承諾があったのなら、どうして全日空から会員IDを聞き出す必要があったのか」と指摘している。 ■全日空は見直し、日航は従来通り…分かれる対応 電話で会員IDを伝えたことについて、全日空は「これまで本人しか知り得ない情報を数点聞いた上で教えていたが、今回の事件を受けて電話での対応は昨年12月に取りやめた」と情報セキュリティー強化の必要性を認め、すぐに対応方法を見直した。 現在は東京都港区の全日空本社か、全国各空港の同社事務カウンターに本人が直接出向かない限り、会員IDを確認することはできない。 パスワードを忘れた場合は、従来と同様に会員サイトで登録していたメールアドレスに仮パスワードを送ってもらうよう申請した上で、改めて新しいパスワードを設定することになる。 「今回のように他人の個人情報を相当知りうる立場の人間が、悪意を持って犯行に及ぶことまでは想定できなかった」 同社の担当者はそう漏らす。 一方、会員サイト「JALマイレージバンク」で同様のサービスを展開している日本航空(品川区)は、会員がサイトに接続する際、7~9桁の会員IDと6桁のパスワードの入力を義務付けている。 パスワードの確認については、登録されたメールアドレスか自宅への郵送でのみ知らせることにしているが、会員IDは電話による問い合わせでも、名前、住所、電話番号などが確認できれば回答するという。 要するに会員IDの取り扱いは以前の全日空と同じということになるが、日本航空広報担当者は「会員IDは単に顧客に振り分けられた番号であり、暗号という扱いではない。それよりもパスワードのセキュリティーを重視している」と現行の対応を変えない方針だ。 ■セキュリティーと利便性の狭間…ポイントサービスは「取引」と見なされず 法律面ではどうか。 金融機関など事業者の本人確認義務について定めた犯罪収益移転防止法は、預金口座やクレジットカードを作る際に運転免許証などで本人確認をするよう義務付けているが、マイルと同種のネットポイントサービスの会員登録については対象外となっている。 同法の規制対象かどうかは、企業と顧客などの取引内容によって判断されるが、ポイントサービスはそもそも「取引」とは見なされていないためだ。 本人確認義務の対象外とはいえ、今後も同様のケースが起こることが想定されており、ネットポイントサービスを提供している企業20社が加盟する「日本インターネットポイント協議会」は、警察と連携しながら同種の事件が起こった場合の対応マニュアルを策定中という。 ただ、現時点では会員登録時の本人確認をはじめ、ポイントを無断使用された利用者に対するポイント補填(ほてん)の可否など、対応は企業の個々の判断で足並みはそろっていない。 「ネットポイントは簡単な会員登録など利便性が魅力。証明書の提示など本人確認を義務付けることは物理的にも難しい」 同協議会はセキュリティーと利便性の間でのジレンマをそう説明し、さらに続ける。 「なりすましで金銭的な損害を受けるのは企業側。利用者に補填すると二重の損害になってしまうことになる」 それでも、顧客離れを懸念して補填を約束している企業は多いという。 同協議会の調査に回答した16社の昨年度の累計会員数は約2700万人、上位10社のポイント発行額は前年度の約2倍の約91億円と大幅に伸びている。 一方、国民生活センターに寄せられた昨年度のネット通販のポイントに関する相談は290件で、中には「マイレージで航空券をネット予約したが、他人にキャンセルされたり予約内容を変更されたりした」などと、なりすまし被害を訴える事例もあったという。 今後は顧客のネットポイントの利益をどこまで、どのように保護するかが企業側の課題となってくる。だが、企業側の担当者らは異口同音にこう訴えるのだ。 「パスワードまで他人に漏れてしまったら手の打ちようがない。ある程度は本人の情報管理をしっかりやってもらうしかない」 利便性の対価として「自己責任」がある-との理屈だが、犯罪の後手に回らないよう対応してほしいものだ。
※この記事の著作権は引用元にあります
http://headlines.yahoo.co.jp/hl?a=20100523-00000517-san-soci
0 件のコメント:
コメントを投稿