【これは約 3 分の記事です】
Twitterで、楽天カードの情報が勝手に書き換えられていた、という情報を見ました。なお、問題は、既に対応済み、とのことです。
楽天カードの住所が勝手に変わってた問題、電話で聞いてみたら
1:楽天IDを適当にとる
2:他人の名前、生年月日、電話番号、勤務先を入れる
3:楽天カードの発行申し込みをするとすると、その住所に自動的に変更されてしまう仕様らしいです。郵便物とかもそこの住所いくので注意です!
— けんすう (@kensuu) 2017年10月10日
例えばAという人物がBさんのカードの住所情報をAのものに変えたいときは、
- Aという人物が楽天IDを取得する。
- Aの楽天カード発行情報で、Bさんの名前、生年月日、電話番号、勤務先を入れる
- Aが楽天カード発行の申し込みをすると、Bさんの住所情報がAの住所情報に書き換えられる
楽天のプレスリリースでは見つかりませんでしたが、IT系のニュースサイトを見ると、この問題については既に対応済みだそうです。
「楽天カード」に他人が住所変更できる問題 既に対策済み
http://www.itmedia.co.jp/news/articles/1710/11/news126.html
で、何故こんなことが起きるか、です。
本人同一性を確認する手段として、ID情報を使っていないようです。どうやら「名前、生年月日、電話番号、勤務先」のいずれか、もしくはその組み合わせによって、本人かどうかを特定しているようで、それが原因と考えられます。
なんでIDを本人同一性の特定に使わないの?
という素朴な疑問がわきます。おそらく、カード会社がもっている与信データとの照らし合わせをするためだと思います。同一人物が別IDでカードを作っても、同じ与信データを参照する必要がある、そういうことではないかと思います。
通常、IDこそ、本人同一性に使われるべき要素です。
ID(IDentification)
「identification」は日本語に直すと「同一であることの証明」ですので。
ただ、一人の人間がIDを複数用意されると、同一性の連続が第三者からわからなくなります。それでそれ以外の要素で、本人にしか属さない属性を本人同一性に使っているのでしょう。
「名前、生年月日、電話番号、勤務先」で、特に名前と生年月日は個人本人の属性です。
が、これらの情報は秘密にできる情報ではありません。申告する情報として偽ることが出来るので、確認が完了する前に申請情報に基づいて住所変更できる仕様は問題あり、と言っていいでしょう。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/