DCが使ってるVisa/MasterCardの本人認証で飛ばされるドメインは、確かcafis-paynet.jpだったはず。そこはJavaScriptもCookieも有効にしてるんだが…とドメインを確認したら、dnp-cdms.jpだった。Google先生に聞くと、これにぶち当たって不安に思ってる人が結構いらっしゃる様子(こことかこことか)。
DCカード(発行会社は三菱UFJニコス)のサイトでは、この件について全く言及なし。しょうがないのでサポートにメールをしてみたら、返答が来た。返信に曰く、確かにこのドメインは本人認証で使っている場所で間違いないが、
「セキュリティ上の理由で公知はしない」
とのこと。何で???
確かに本人認証サービスでは「パーソナルメッセージ」というものをあらかじめ設定しておく。カード会社側のスタンスは、自分が設定したパーソナルメッセージが表示されているかどうかで認証画面の正当性を判断せよ、とのことらしい。でもこれってユーザが適当に設定するものだから、ホゲホゲとかいい加減で類推可能なものかも知れないし、さらには忘れてるかも知れない。ドメイン名が公知されていれば二重の確認をしたり、今回のようにドメインが従来と異なっていることでCookieやJavaScriptをブロックし、怪しいサイトに飛んだことを認識することもできるはず。あえて隠す理由というのが分からない。
実際、国内カード大手の三井住友カードでは、Visa/MasterCardでのネットショッピング認証サービスを説明するページにわざわざ「URLの確認方法はこちら」というリンクを用意し、飛ばされる先のドメイン名を公開している。JCBも、自社の認証サービスであるJ/Secureについて、かなり消極的ではあるがドメイン名を一応公知している(字は小さいし、そもそもトップページからここまでは簡単にたどり着けない)。
この辺のネタを調べているうちに、さらに酷いと思われる例を見つけた。トヨタファイナンスのティーエスキュービック(TS3)カードでのオンラインショッピング認証サービスだ。当然ドメイン名などどこにも書かれていないだけでなく、認証画面の正当性を確認する唯一の手段であるはずのパーソナルメッセージは、
「カードサイトのログインID」
「家族会員は固定文字列」
だそうだ。これって本当に大丈夫なのか?しかし、似たような事例が他にもありそうで、怖いもの見たさにいろいろ調べたい気もしてきた。
