2011年10月18日火曜日

クレジットカードの本人認証サービスとドメイン名表示

ちょっと前に、とあるサイトで商品を購入し、DCカードで支払いをしようとしたら、JavaScriptとCookieがブロックされていたのでいわゆる「本人認証サービス」という奴に失敗して購入できなかった。普段使いのFirefoxでは、NoScriptとCookie Monsterというアドオンを使って、不要なサイトのJavaScriptやCookieは拒否しているのだ。

DCが使ってるVisa/MasterCardの本人認証で飛ばされるドメインは、確かcafis-paynet.jpだったはず。そこはJavaScriptもCookieも有効にしてるんだが…とドメインを確認したら、dnp-cdms.jpだった。Google先生に聞くと、これにぶち当たって不安に思ってる人が結構いらっしゃる様子(こことかこことか)。

DCカード(発行会社は三菱UFJニコス)のサイトでは、この件について全く言及なし。しょうがないのでサポートにメールをしてみたら、返答が来た。返信に曰く、確かにこのドメインは本人認証で使っている場所で間違いないが、

「セキュリティ上の理由で公知はしない」


とのこと。何で???

確かに本人認証サービスでは「パーソナルメッセージ」というものをあらかじめ設定しておく。カード会社側のスタンスは、自分が設定したパーソナルメッセージが表示されているかどうかで認証画面の正当性を判断せよ、とのことらしい。でもこれってユーザが適当に設定するものだから、ホゲホゲとかいい加減で類推可能なものかも知れないし、さらには忘れてるかも知れない。ドメイン名が公知されていれば二重の確認をしたり、今回のようにドメインが従来と異なっていることでCookieやJavaScriptをブロックし、怪しいサイトに飛んだことを認識することもできるはず。あえて隠す理由というのが分からない。

実際、国内カード大手の三井住友カードでは、Visa/MasterCardでのネットショッピング認証サービスを説明するページにわざわざ「URLの確認方法はこちら」というリンクを用意し、飛ばされる先のドメイン名を公開している。JCBも、自社の認証サービスであるJ/Secureについて、かなり消極的ではあるがドメイン名を一応公知している(字は小さいし、そもそもトップページからここまでは簡単にたどり着けない)。

この辺のネタを調べているうちに、さらに酷いと思われる例を見つけた。トヨタファイナンスのティーエスキュービック(TS3)カードでのオンラインショッピング認証サービスだ。当然ドメイン名などどこにも書かれていないだけでなく、認証画面の正当性を確認する唯一の手段であるはずのパーソナルメッセージは、

「カードサイトのログインID」


「家族会員は固定文字列」


だそうだ。これって本当に大丈夫なのか?しかし、似たような事例が他にもありそうで、怖いもの見たさにいろいろ調べたい気もしてきた。

0 件のコメント:

コメントを投稿

英語配列のノートPCで日本語配列設定にしちゃった時に、アンダースコアを入力するTips

US配列のLG gram SuperSlimを購入した。で、Windowsの初期セットアップを始めたところ、最初に選択できるキー配列はMicrosoft IME(まあ要するに日本語配列)だけ。で、その後に「追加のキー配列」を選択できるのだが、後でやればいいやと思ってスルーしてしま...