先日久々に電子マネー(BitCash)でお買い物をしようとポチったら・・・

ご利用残高が不足しています

のエラーが発生しました。久々というのが2ヵ月ぶりで「ぁ～、残金無いのか～」と思って使用しているIDのチャージを行おうとしたら残金が”0円”の表示。流石にこれはあり得ないぞ、と。というのも、0円で使い切る買い物なんてしないので余程の低確率ではない限り”0円”になるわけがない！

ってことで明細を調べてみると・・・・、”○○○円　チャージ”、と。あぁ・・・・不正利用されたなと。まぁ、一応Bitcashにお問い合わせてきた返答は不正利用かどうかの判定が不能とのこと(※メールの転載は遠慮してください、とのことなのでこれ以上書けませんが)。まぁ、お問い合わせの前に予測していた通りの結果です。仮に私が別のBitCashを持っていたとして、それにマージしようが不正利用でマージされようが、それを証明する手段が無いと言っているわけですよね。

さて、今回考えるべきポイントのスタートラインから。

• 私の過失でひらがなIDが流出し、それが第3者に不正利用された可能性
• ひらがなIDに対して何らかしらのアタックが行われ、マッチングした私のBitCashが第3者に不正利用された可能性

前者についてですが、これに関しては時系列的にほぼあり得ない、のですよね。私がひらがなIDを管理しているのはBitCashのアカウント上、及び、私の脳内領域の2パターン。最後にBitCashへのログイン、及び、ひらがなIDを入力した日付が5月17日であり、不正利用されたのが6月12日。約1ヵ月の間があり、漏えいしたと仮定するには開きがありすぎるな、と。

後者についてですが、これは大いに有り得る事かな、と思っています。というのも、同じひらがなIDを履歴が追える限りでは2009年から(ほぼ3年間)使っているから。BitCashに限らず一般的な電子マネーはもちろん、こちらにIDを選択する余地なく向こうから送り付けられた”確率的に安全かどうかもわからない”何かしらのIDを使用することとなります。言い換えれば、購入した瞬間に偶然にもアタック対象となりかねない現金の詰まったIDをネットに利用可能な形でデータを配置し、明示的に提供される本人にしか使えないであろう、という前提でのやりとりとなります。

まぁ、購入した直後ではもちろん天文学的な数値で安全(？)と思われますが、この安全性は当然経年劣化します。なので、銀行決済からチャージを行う人にとっては変えようのない同じIDに対してチャージをしている状態であり、セキュア性の低いIDに対してチャージを行っているという事になります。

以下は同一の電子マネーIDを使い続けて、且つ、不正利用を受けてしまった場合の論点(ここからは、完全に憶測なので憶測に関する部分は電子マネーID、実際に私が直面した事態＝BitCash利用時の場合はひらがなIDと呼びます)。

• 同一の電子ーIDに対してチャージし続けるエンドユーザーが悪い
• 同一の電子マネーIDに対してチャージし続ければ時系列的なセキュア性が低下するのは自明であるが、その対策が行われていない提供者が悪い

少なからず、私がBitCashを使用してた限りではMyBitCashのログインパスワードは定期的に変更してください勧告はありましたが、同一のひらがなIDを使い続けている方は別のBitCashを購入してIDを定期的に切り替えるようにしてね！、なんて勧告は見たことないのですよね。(5月29日からリニューアル後に自分のアカウントに紐付くただ一つのマイビットキャッシュIDに関しては変更可能なようですが・・・)

いずれにせよたった一つの事実としては結果的に、私としては被害を被ったわけで、BitCashとしては不正利用かどうかはわからないが額面としては」利用されている、ということです。

サポートセンターにもお問い合わせを行ったのでその結果は別途書きましょう。