結論から言うと

私が最終的に利用した履歴とメールで返答のあった履歴に相違がないことが確認できたため、私のアカウントへの不正なログオンは完全に白だという結果。その為、今回私のBitCashが意図しない形でマージされたのは3年間使い続けたひらがなIDに対するランダム(OR それに相当する)アタックにより、第三者にマージされてしまった

という感じになります。BitCashの特性として通常のネットマネーと異なるのが「ひらがな」という日本独特の言語を使用していることであり、それ自体が第三者からのアタックに対して強い、と高をくくっていた部分がそもそも失敗だったのかな、と。まぁ・・・・3年近くも同じIDで使い続けていられただけ、まだ強い方だと見るべきかどうか分かれそうですが。

ってことで、私的な見解でBitCashを安全に使う方法を考えてみた。

• コンビニで受け取ったBitCashのひらがなIDは、リニューアル後のホーム直下に表示されるマイビットキャッシュへのマージを行う一時ID用だと思った方がよい
• マイビットキャッシュはオペレートを行う直前のみロック解除、使い終わったら即ロックのような徹底した外部からのアタックを防止する意識を持った方がよい
• ロックの施行、解除は通知メールが流れるので自分が意図しない操作でメールが来たらアカウントそのものが狙われたと思った方が無難かもしれない

私としては、BitCashを不正マージされたことよりもアカウントが不正アクセスされていないことの方が余程重要だったりするのです。だって、アカウントが割れた場合はそれ以上の不利益を被るのですから。

あ、結果的言うと恐らく相手の人は切れていたと思います。声が強張って口調も最初からみてかなり早くなっていたので。でも、質問に対して適切に答えるのがサポートセンターとしての役割なので、質問が複雑だからといってこちらに対して怒られてもお門違いなんですが。

ダラダラ書かなくても長いですが、BitCashでのやり取りでコレってどうなんだろう？と思ったことを箇条書き的に書いておきます。

• メールでのお問い合わせは電話対応に引き継がれない

お問い合わせをする企業先がキャリア(IS12Tユーザーなのでau)マイクロソフト・Appleなどですが、メールでのやり取りで厳しい場面があれば電話での対応に切り替えます。もちろん、メールの際はお問い合わせ番号が書いてあり、それを伝えれば当然引き継がれるのですが・・・・・

Bitcashサポセン 「メールでのお問い合わせ内容はこちらで把握することができません」

まぁ・・・・そゆこともあるよね、と温かい気持ちで「いきさつ」を説明しましたとさ。

• 「不正利用」の言葉を出すと途端に「そちらは第三者機関にお問い合わせください」のロボットになる

不正利用のいきさつを説明して質問の本題に入ろうとするや否や「不正利用等のお問い合わせについては警察や消費者センター等の第三者機関にご相談してください」という待ってました！と言わんばかりのフレーズが受話器から飛び込んできます。うん、それはメールに書いてあるから知っているんだよ。その後のやり取りでもこのフレーズでサポートを終わらせようとする場面がありましたが、聞きたいのは「アカウントの不正ログインがあったか(＝私の知らないログイン履歴が存在するかどうか)」では無いのです。

• ログイン履歴は30件まで照会できるらしい

まず私が確認したいのはマイページへのログイン履歴。つまり、ひらがなIDに対するアタックだったのか、私のログインIDが不正に利用されたのかをハッキリするため。ちなみに、先のところで私のログインIDが不正に利用された可能性を書いていないのはBitCashが公式発表していないから。って事でレッツ照会。

• ログイン履歴を照会を行うものに必要なニックネームらしい

照会を行う段階で「お客様がご利用のニックネームをご提示ください」とありました。もちろん使っているニックネームをお伝えるとログイン照会を行ってくれたわけなんですが、ニックネームで照会してくれます。照会にあたってニックネーム以上の情報提供をこちらから提示してはないので、ニックネームを知っていればだれでもその人のログイン履歴を知ることができます。一応、別のお問い合わせとして私から「キャンペーン等の当選によりニックネームが公開されることはないのでしょうか？」の質問にサポートセンターの人曰く「ニックネームはシステム上第三者に公開することはありません」、と回答を受けました。が、もちろん、こんなので安心できるわけないですよね。ニックネームなんて誰でも思いつきそうな名前を適当につけただけなのですから。例えば「マイク」というニックネームを使用していたとして第三者が「マイク」というニックネームは使われているだろうという予測の元でお問い合わせを行った場合は誰知らぬ三者に私のログイン履歴が通知されることとなります。個人を特定できる情報の提示ではないので、個人情報には該当しませんが当人にとっては予期せぬ情報を第三者に提示されることとなります。

その後の確認でも案内がおかしい部分がちらほらあるので、以下Q&A的に書くと・・・

質問 「登録時に『ビットキャッシュサイト上で公開されるニックネームを設定してください』とあるのですが、やはりニックネームは公開される情報ではないでしょうか？」
返答 「ログインしたときに表示するだけであり、マイページ以外での表示は行いません」

質問 「ニックネーム登録時に『重複チェック』のボタンがあるのですが、これは第三者に予測可能な機会を与えているのではないでしょうか？」
返答 「ニックネームは重複する場合がございます」
問題点: 重複チェックで重複することを許可するんですね。何のための重複チェックだろう？ 因みにものの1分で確認が行えたので結果を言うと「ニックネームは重複しない」ようです

質問 「ニックネームは利用されているであろうと思われる予測可能なものなのですが、それだけでログイン履歴が提示されるのでしょうか？」
返答 「ニックネームが重複した場合はお客様のID・パスワード等をお聞きしてお客様本人にしかわからない情報で照会を行います。」
問題点: 重複してなかったらID・パスワード無しで照会するんだ・・・・。予測可能だって言っているんですけどね。

質問 「先ほど私のログイン履歴の照会にあたってニックネームのみで照会が可能だったのですが、どのようになっているのでしょうか？」
返答 「照会にあたって全履歴を返答することはございません」
問題点: 私は先のオペレーションで「ログイン履歴の30件を全てご案内いたします」と受けたのですが・・・・

質問 「私は先のオペレーションで『ログイン履歴の30件を全てご案内いたします』と受けたのですが、これは矛盾していないでしょうか？」
返答 「すべて開示する場合はご本人にしかわからない情報が提供された場合のみ開示します」
問題点: いや・・・・、ニックネームは本人にしかわからない情報ではないだろう・・・・。

最終的には「お客様の言っていることはわかりかねます」の一点張り。質問が終わって「はい、了解いたしました」と声をかけるもそのままプッツリ電話を切るのみ。ただ、上記のやり取りから私なりの結論(BitCashの会社としての結論ではない)ですが、

ニックネーム登録段階でオペレータ曰く重複チェックというボタンがあるがシステム上重複する。また、重複しなかった場合は私としては予測可能なニックネームというたった一つの情報で過去30件までのログイン履歴を提示してくれる。実際はニックネームは重複不可能であり、且つ、重複チェック機能を利用すればログイン履歴を第三者が得ることは非常に容易な作業である

• ログイン履歴はリニューアル(5月29日)以前が無い(らしい)

サポートセンターの返答なのでこちらに提供できる形でのデータがサポート側に提供されていないだけだと思いたいですが、私の質問「リニューアルとされる5月29日以前のログインに関してはシステム上存在しないいうことですか？」の質問に対して「はい、そのようになります」との返答を頂きました。お客様のお金を扱っている会社でログイン履歴がないってどゆことだってばよ。。。オペレータが怪しいので審議はメール待ち。

• マイビットキャッシュのひらがなID変更における返答誤り

リニューアル後のお問い合わせで私の確認不足もあり、いざこざが発生した側面もあります。リニューアル後にそのアカウントに関連付けられたひらがなIDがただ一つ提供されます。先の3年間にも渡るひらがなIDを使い続けることはセキュリティ的にリスクが高い、と思い質問しました。

質問 「ログイン後のホーム画面の下に表記されるマイビットキャッシュは変更可能でしょうか？」
返答 「変更不可能です」

実際は変更可能でした。セキュリティ設定のところから変更可能でオペレータによれば24時間に1回可能らしい。サポートさん知っておいてください、調べない私も悪かったですが・・・・・。

• ひらがなIDのロック機能は画面から非表示にするだけの機能(by オペレーター)

既にオペレーターから来る返答の信用性がほぼ0%に近いのですが、続けて。

質問 「ロック機能があるのですが、こちらはどのような機能でしょうか？」
返答 「お客様のマイページから表示を隠すための機能になります」

・・・・、幾らなんでもそれはひどい・・・。もはやサポートどころかこれをほかの人に案内しようものならあらぬ誤解しか生まない状態でしょう。

というやり取りが、BitCashサポートセンターのオペレータにおけるやり取りの要約になります。
 

断っておくと私はセキュリティ専門家とはかけ離れた存在であり、しがない一人のほげぐらま(否プログラマ)であります。が、そのような人ですらちょっとしたきっかけであらぬ情報を開示するような事に気が付いたり、また、悪意をもってこのシステムを利用されたりした場合って「ごめんなさい」で済む状態では無いでしょう。特に、個人の資産や個人情報を扱う運営会社にとっては。

最後に一言、セキュリティというのはプログラム的・ネットワーク的なシステムだけを見ればいいわけではありません。私が崇めるケビン・ミトニック氏が使っていたとされるソーシャル・ハッキングという手法を用いて攻めてくるハッカーもいるでしょう。今後はより一層そのようなセキュリティが求められる時が来るのではないかな、と考える今日この頃。

ご利用残高が不足しています

のエラーが発生しました。久々というのが2ヵ月ぶりで「ぁ～、残金無いのか～」と思って使用しているIDのチャージを行おうとしたら残金が”0円”の表示。流石にこれはあり得ないぞ、と。というのも、0円で使い切る買い物なんてしないので余程の低確率ではない限り”0円”になるわけがない！

ってことで明細を調べてみると・・・・、”○○○円　チャージ”、と。あぁ・・・・不正利用されたなと。まぁ、一応Bitcashにお問い合わせてきた返答は不正利用かどうかの判定が不能とのこと(※メールの転載は遠慮してください、とのことなのでこれ以上書けませんが)。まぁ、お問い合わせの前に予測していた通りの結果です。仮に私が別のBitCashを持っていたとして、それにマージしようが不正利用でマージされようが、それを証明する手段が無いと言っているわけですよね。

さて、今回考えるべきポイントのスタートラインから。

• 私の過失でひらがなIDが流出し、それが第3者に不正利用された可能性
• ひらがなIDに対して何らかしらのアタックが行われ、マッチングした私のBitCashが第3者に不正利用された可能性

前者についてですが、これに関しては時系列的にほぼあり得ない、のですよね。私がひらがなIDを管理しているのはBitCashのアカウント上、及び、私の脳内領域の2パターン。最後にBitCashへのログイン、及び、ひらがなIDを入力した日付が5月17日であり、不正利用されたのが6月12日。約1ヵ月の間があり、漏えいしたと仮定するには開きがありすぎるな、と。

後者についてですが、これは大いに有り得る事かな、と思っています。というのも、同じひらがなIDを履歴が追える限りでは2009年から(ほぼ3年間)使っているから。BitCashに限らず一般的な電子マネーはもちろん、こちらにIDを選択する余地なく向こうから送り付けられた”確率的に安全かどうかもわからない”何かしらのIDを使用することとなります。言い換えれば、購入した瞬間に偶然にもアタック対象となりかねない現金の詰まったIDをネットに利用可能な形でデータを配置し、明示的に提供される本人にしか使えないであろう、という前提でのやりとりとなります。

まぁ、購入した直後ではもちろん天文学的な数値で安全(？)と思われますが、この安全性は当然経年劣化します。なので、銀行決済からチャージを行う人にとっては変えようのない同じIDに対してチャージをしている状態であり、セキュア性の低いIDに対してチャージを行っているという事になります。

以下は同一の電子マネーIDを使い続けて、且つ、不正利用を受けてしまった場合の論点(ここからは、完全に憶測なので憶測に関する部分は電子マネーID、実際に私が直面した事態＝BitCash利用時の場合はひらがなIDと呼びます)。

• 同一の電子ーIDに対してチャージし続けるエンドユーザーが悪い
• 同一の電子マネーIDに対してチャージし続ければ時系列的なセキュア性が低下するのは自明であるが、その対策が行われていない提供者が悪い

少なからず、私がBitCashを使用してた限りではMyBitCashのログインパスワードは定期的に変更してください勧告はありましたが、同一のひらがなIDを使い続けている方は別のBitCashを購入してIDを定期的に切り替えるようにしてね！、なんて勧告は見たことないのですよね。(5月29日からリニューアル後に自分のアカウントに紐付くただ一つのマイビットキャッシュIDに関しては変更可能なようですが・・・)

いずれにせよたった一つの事実としては結果的に、私としては被害を被ったわけで、BitCashとしては不正利用かどうかはわからないが額面としては」利用されている、ということです。

サポートセンターにもお問い合わせを行ったのでその結果は別途書きましょう。