首都圏の鉄道やバスで利用できるICカード乗車券の![[External]](/~yano/parts/extlink.png)
PASMO(パスモ)。
 |
| PASMO |
マイページ・PASMO履歴照会サービスという登録式のサービスがあり、カード番号と氏名、生年月日などで乗車履歴をWebブラウザで確認することができるそうだ。
当然これは記名式カードの場合に限られ、またWebで登録しておく必要があるわけだが、他人が乗車履歴を見ることができる脆弱性がわかり、今夜のNHKニュースでも急遽サービスが停止されたという事が報道された。
ま、予想通りニュースソースは高木センセーだったのでちょいとチェックしてみたが、パスワードが無いのでカード番号と氏名・生年月日程度の情報さえわかれば良いという杜撰を通り越して超大胆なシステム。まぁ登録制なのが救いかな…と思ったが、本人が自分の意志で登録するどころかPASMO履歴照会サービスの存在すら知らなくても、第3者が勝手にカードを登録する事も可能というなかなか信じ難いシステムである事が指摘されていて、相当に驚いた。
親が子供のカードを登録して乗車履歴をチェックするというニーズはわからなくもないが、夫婦間や恋人同士で黙ってやられると大問題だよね。
また、タイムズクラブ PASMO ID番号登録サービスなどのようなサービスにカード番号を登録してしまうと、意図しないサービス側にまで乗車履歴サービスに抜かれてしまうリスクがある。例えサービスに登録してなくても勝手に登録されて乗車履歴をチェックされてしまうというのは驚くべき脆弱性だ。
対策としては「マイページ停止センター」(TEL:03-5325-9271)に申請する事でPASMO履歴照会サービスに登録できないようにする事が可能(オプトアウト)ということだが、パスモ側としては最初からこの問題を認識していて「マイページ停止センター」を設置しているというから、悪質というか、無神経にも程がある。
ちなみにnimocaにも利用履歴照会サービスがあるが、やはりパスワードが必要だ。但し、登録の際にメールによって本人確認するという事だが、登録する人自身のメールを使えばいいだけ(必ずしもカードの所有者である必要は無い)なので、カード番号と生年月日を知り得た他人が登録する事は妨げていない事になり、やはり注意が必要。その点、sugocaやSuicaはwebサービスをしてないので万全。
【参照】
●高木浩光@自宅の日記 http://takagi-hiromitsu.jp/
┣ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか 2012年2月26日
┗パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 2012年2月27日
●NHKニュース http://www3.nhk.or.jp/news/
┗パスモ サービスの一部を停止 2012年3月1日
●PASMO(パスモ) http://www.pasmo.co.jp/
┗マイページ・PASMO履歴照会サービス
●nimoca http://www.nimoca.jp/
┗利用履歴照会サービス
●Wikipedia http://ja.wikipedia.org/wiki/
┗パスモ
