リアル知人に私がサポートセンターに問い合わせてみたという度に「クレームでしょ」とよく言われますがクレームは苦情・意義・文句の意であり、私はどちらかというと質問・お問い合わせ・調査(=Inquiry)に近い意となるのであしからず。まぁ・・・・、結果的に諸々の穴を突く、という質問責めとなるので対応者にとっては悲劇的なことなんですが。
あ、結果的言うと恐らく相手の人は切れていたと思います。声が強張って口調も最初からみてかなり早くなっていたので。でも、質問に対して適切に答えるのがサポートセンターとしての役割なので、質問が複雑だからといってこちらに対して怒られてもお門違いなんですが。
ダラダラ書かなくても長いですが、BitCashでのやり取りでコレってどうなんだろう?と思ったことを箇条書き的に書いておきます。
お問い合わせをする企業先がキャリア(IS12Tユーザーなのでau)マイクロソフト・Appleなどですが、メールでのやり取りで厳しい場面があれば電話での対応に切り替えます。もちろん、メールの際はお問い合わせ番号が書いてあり、それを伝えれば当然引き継がれるのですが・・・・・
Bitcashサポセン 「メールでのお問い合わせ内容はこちらで把握することができません」
まぁ・・・・そゆこともあるよね、と温かい気持ちで「いきさつ」を説明しましたとさ。
- 「不正利用」の言葉を出すと途端に「そちらは第三者機関にお問い合わせください」のロボットになる
不正利用のいきさつを説明して質問の本題に入ろうとするや否や「不正利用等のお問い合わせについては警察や消費者センター等の第三者機関にご相談してください」という待ってました!と言わんばかりのフレーズが受話器から飛び込んできます。うん、それはメールに書いてあるから知っているんだよ。その後のやり取りでもこのフレーズでサポートを終わらせようとする場面がありましたが、聞きたいのは「アカウントの不正ログインがあったか(=私の知らないログイン履歴が存在するかどうか)」では無いのです。
まず私が確認したいのはマイページへのログイン履歴。つまり、ひらがなIDに対するアタックだったのか、私のログインIDが不正に利用されたのかをハッキリするため。ちなみに、先のところで私のログインIDが不正に利用された可能性を書いていないのはBitCashが公式発表していないから。って事でレッツ照会。
- ログイン履歴を照会を行うものに必要なニックネームらしい
照会を行う段階で「お客様がご利用のニックネームをご提示ください」とありました。もちろん使っているニックネームをお伝えるとログイン照会を行ってくれたわけなんですが、ニックネームで照会してくれます。照会にあたってニックネーム以上の情報提供をこちらから提示してはないので、ニックネームを知っていればだれでもその人のログイン履歴を知ることができます。一応、別のお問い合わせとして私から「キャンペーン等の当選によりニックネームが公開されることはないのでしょうか?」の質問にサポートセンターの人曰く「ニックネームはシステム上第三者に公開することはありません」、と回答を受けました。が、もちろん、こんなので安心できるわけないですよね。ニックネームなんて誰でも思いつきそうな名前を適当につけただけなのですから。例えば「マイク」というニックネームを使用していたとして第三者が「マイク」というニックネームは使われているだろうという予測の元でお問い合わせを行った場合は誰知らぬ三者に私のログイン履歴が通知されることとなります。個人を特定できる情報の提示ではないので、個人情報には該当しませんが当人にとっては予期せぬ情報を第三者に提示されることとなります。
その後の確認でも案内がおかしい部分がちらほらあるので、以下Q&A的に書くと・・・
質問 「登録時に『ビットキャッシュサイト上で公開されるニックネームを設定してください』とあるのですが、やはりニックネームは公開される情報ではないでしょうか?」
返答 「ログインしたときに表示するだけであり、マイページ以外での表示は行いません」
質問 「ニックネーム登録時に『重複チェック』のボタンがあるのですが、これは第三者に予測可能な機会を与えているのではないでしょうか?」
返答 「ニックネームは重複する場合がございます」
問題点: 重複チェックで重複することを許可するんですね。何のための重複チェックだろう? 因みにものの1分で確認が行えたので結果を言うと「ニックネームは重複しない」ようです
質問 「ニックネームは利用されているであろうと思われる予測可能なものなのですが、それだけでログイン履歴が提示されるのでしょうか?」
返答 「ニックネームが重複した場合はお客様のID・パスワード等をお聞きしてお客様本人にしかわからない情報で照会を行います。」
問題点: 重複してなかったらID・パスワード無しで照会するんだ・・・・。予測可能だって言っているんですけどね。
質問 「先ほど私のログイン履歴の照会にあたってニックネームのみで照会が可能だったのですが、どのようになっているのでしょうか?」
返答 「照会にあたって全履歴を返答することはございません」
問題点: 私は先のオペレーションで「ログイン履歴の30件を全てご案内いたします」と受けたのですが・・・・
質問 「私は先のオペレーションで『ログイン履歴の30件を全てご案内いたします』と受けたのですが、これは矛盾していないでしょうか?」
返答 「すべて開示する場合はご本人にしかわからない情報が提供された場合のみ開示します」
問題点: いや・・・・、ニックネームは本人にしかわからない情報ではないだろう・・・・。
最終的には「お客様の言っていることはわかりかねます」の一点張り。質問が終わって「はい、了解いたしました」と声をかけるもそのままプッツリ電話を切るのみ。ただ、上記のやり取りから私なりの結論(BitCashの会社としての結論ではない)ですが、
ニックネーム登録段階でオペレータ曰く重複チェックというボタンがあるがシステム上重複する。また、重複しなかった場合は私としては予測可能なニックネームというたった一つの情報で過去30件までのログイン履歴を提示してくれる。実際はニックネームは重複不可能であり、且つ、重複チェック機能を利用すればログイン履歴を第三者が得ることは非常に容易な作業である
- ログイン履歴はリニューアル(5月29日)以前が無い(らしい)
サポートセンターの返答なのでこちらに提供できる形でのデータがサポート側に提供されていないだけだと思いたいですが、私の質問「リニューアルとされる5月29日以前のログインに関してはシステム上存在しないいうことですか?」の質問に対して「はい、そのようになります」との返答を頂きました。お客様のお金を扱っている会社でログイン履歴がないってどゆことだってばよ。。。オペレータが怪しいので審議はメール待ち。
- マイビットキャッシュのひらがなID変更における返答誤り
リニューアル後のお問い合わせで私の確認不足もあり、いざこざが発生した側面もあります。リニューアル後にそのアカウントに関連付けられたひらがなIDがただ一つ提供されます。先の3年間にも渡るひらがなIDを使い続けることはセキュリティ的にリスクが高い、と思い質問しました。
質問 「ログイン後のホーム画面の下に表記されるマイビットキャッシュは変更可能でしょうか?」
返答 「変更不可能です」
実際は変更可能でした。セキュリティ設定のところから変更可能でオペレータによれば24時間に1回可能らしい。サポートさん知っておいてください、調べない私も悪かったですが・・・・・。
- ひらがなIDのロック機能は画面から非表示にするだけの機能(by オペレーター)
既にオペレーターから来る返答の信用性がほぼ0%に近いのですが、続けて。
質問 「ロック機能があるのですが、こちらはどのような機能でしょうか?」
返答 「お客様のマイページから表示を隠すための機能になります」
・・・・、幾らなんでもそれはひどい・・・。もはやサポートどころかこれをほかの人に案内しようものならあらぬ誤解しか生まない状態でしょう。
というやり取りが、BitCashサポートセンターのオペレータにおけるやり取りの要約になります。
断っておくと私はセキュリティ専門家とはかけ離れた存在であり、しがない一人のほげぐらま(否プログラマ)であります。が、そのような人ですらちょっとしたきっかけであらぬ情報を開示するような事に気が付いたり、また、悪意をもってこのシステムを利用されたりした場合って「ごめんなさい」で済む状態では無いでしょう。特に、個人の資産や個人情報を扱う運営会社にとっては。
最後に一言、セキュリティというのはプログラム的・ネットワーク的なシステムだけを見ればいいわけではありません。私が崇めるケビン・ミトニック氏が使っていたとされるソーシャル・ハッキングという手法を用いて攻めてくるハッカーもいるでしょう。今後はより一層そのようなセキュリティが求められる時が来るのではないかな、と考える今日この頃。
