パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

高木先生、PASMO の「マイページ停止センター」に電凸」記事へのコメント

  • 高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
    そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
    (当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)

    それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー

    • もっともかな~

      センセ曰く
      >私: 名前と生年月日と電話番号というのは公開情報ですよね?

      そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
      使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。

      というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
      利便性を優先する方が良いと思う。
      それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
      現状そんなに瑕疵があるとは思えないなあ。

      ##私もこの機能知らなかった。今後使おうと思うよ。

      親コメント
      • >そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・ ネットに電話番号と生年月日を書く書かないが本質じゃないでしょ。 あなたは友人にも生年月日と電話番号教えますか? 極端な話、このシステムは友人なら誰でもあなたの行動と買い物を追跡できてしまうって事です。 そこが問題視されてるわけですが。
        親コメント
        • いやさ、本質論はわかるよ、
          普通、氏名、電話、生年月日からPASMOの履歴がわかってしまうということは誰も知らない。
          公開情報から予期せぬリスクを負ってしますと・・・

          >名前と生年月日と電話番号というのは公開情報ですよね?
          という発想に違和感を覚えるわけ。例えば名前は公開情報なのか?ということ、
          個人的には違うと思うわけですよ。名前教えるにしても相手によって
          教えるかどうか考えませんか?教えるかどうか考える余地があるってだけでもすでに“公開”ではないわけで。

          更に言ってしまえば、氏名・生年月日・電話番号をすべて教える場合、
          相応のリスクを担保できる相手だからこそ教えるという判断が働いているわけで、
          たとえPASMOの履歴が知られてしまうという事実を知らなかったとしても、
          それは相応のリスクの範囲に収まるのではないか?という理屈。

          確かに、氏名・生年月日・電話番号が公開情報であると考えれば、
          リスクはゼロという判断のもと情報をオープンにするわけで、
          そこから“PASMOの履歴”が見られるのはケシカランとなると思いますが、
          ここまでサポセンいじめるほどこれらの情報の公開は常識じゃないだろ!
          と思ったのが本当のところ。

          ##長文失礼、クレーム対応とかホント面倒くさいんだぜ-

          親コメント
          • >氏名・生年月日・電話番号をすべて教える場合、
            相応のリスクを担保できる相手だからこそ教えるという判断が働いている

            たとえば、社内の名簿は?全員が名前わかりますよね?直接あったわけでもない、九州支社の人間が
            メールアドレス検索なりで北海道支社の名前わかりますよね?

            それに初対面の人間とでも自己紹介では名前は教えるでしょうに、友人になるかならないかはその先。あなた、取引先に名詞配りませんか?

            名前は基本的に公開情報です。

            生年月日なり電話番号も基本的にある種のコミュニティでは共有されます(好む好まざるとにかかわらず)

            PTAだの、クラスだの、同窓会だのの名簿ね。
            親コメント
            • さらにいうと、
              timesの件しかり、

              クレジットカード会社などにもこれら提供しますよね。
              正しいの提供しないと審査通りませんから。

              autoチャージ関係ないクレジット会社でも
              履歴丸見えなわけです。
              親コメント
          • >相応のリスクを担保できる相手だからこそ教えるという判断が働いているわけで、
            皆が皆そう考えてるわけじゃないですよ。高木さんのブログにも書いてますが、電話番号ブログで公開してる人も居る訳ですよ。
            あなたが現状そんなに瑕疵があるとは思えないのは、単にあなたが名前電話番号生年月日は知らない奴にほいほい教えるもんじゃないというスタンスを持っているからで、そうではない他の人のスタンスを否定できないはずです。
            親コメント
            • >あなたが現状そんなに瑕疵があるとは思えないのは、
              >単にあなたが名前電話番号生年月日は知らない奴にほいほい教えるもんじゃないというスタンスを持っているからで、
              >そうではない他の人のスタンスを否定できないはずです。

              そう、その点です。
              センセはこれらの情報を公開情報だというスタンスに基づいて
              理論を展開してるフシがあるわけで、
              言い換えれば、これらの情報を公開してるのは当たり前の一般常識であり、
              だからPASMOの履歴閲覧に問題があると言っているわけでしょ。

              でもおっしゃるとおり、各種情報を公開する人もいるし、公開しない人もいるわけで
              、公開することが一般常識ではないよね?ということ。

              公開している人が間違ってるとかそういうことじゃなくて、
              公開することが当たり前(一般常識)とすることに違和感を覚えてる訳。

              親コメント
              • >公開することが当たり前

                一つ一ついうと
                名前は「公開されることが当たり前(一般常識)」です。ネットでなくリアル社会の話では。
                先に書いたとおり、社内のメール名簿なりでまったく知らない社内の人間の名前わかりますよね?

                ブログなどに実名書くのは馬鹿ですが。
                現実社会は「本名が公開されて成り立っている現実」があります。

                先だっての「初めて知り合うとき(信頼関係構築前)」嘘なのるんですか?あなた?
                「飛び込み営業する側」など。
                レンタルdvd屋のカードですら、身分証求められますよね?

                で、生年月日、電話番号ですが。
                「意図せず公開(開示)せざるを得ない現実」(クレジットカード会社への登録時の開示など)
                「意図せず公開されざるを得ない現実(各種組織名簿など)」
                があるのが一般常識です。

                また、他でも書いたとおり、PASMO側へ嘘を渡す事もある種の人間は不可能です。(通学定期PASMOなどは生徒証と照合されるため)
                つまり、ここに出した

                ここまで例をだしてもまだわかりませんか?

                カードも持たず、人付き合いもせず、引きこもってネットだけのニートしてれば大丈夫かも知れませんがw
                親コメント
              • 各種情報を公開する人に合わせてセキュリティを考えていかなくてはならないのですよ。
                でないと、情報を公開する権利を否定することになってしまいます。
                あなたはそんな権利は要らないとお考えだと思うのですが、
                例えばウェブで電話番号公開したい人などのことも考えてあげて下さい。
                親コメント
              • もう、単に日本語の話しなんだけど…
                公開という言葉を調べてよ…ついでに開示って言葉も。
                公開
                “特定の人に限定せず、広く一般の人々に入場・
                観覧・使用などを許すこと。”

                社内のアドレス帳は公開ではないわけ、
                社内に対して限定的に公開されているわけですよ。
                (社員であれば特定のひとに限定されてないということね)

                飛び込み営業が名刺を受付に置くのだって、その会社の担当者に対し
                目に止まればいいなーという意図のもと名刺を置くわけで、
                完全に不特定の人に公開しているわけではないですよね?

                クレジットカード会社に対しては単なる提示
                クレジット会社に限定されてます。公開とも開示とも言わない。

                各種組織名簿は本来、その組織内だけで使われますよね?
                そりゃ意図せず外部に漏れたりするかもしれませんが、公開情報じゃないからこそ
                問題になるわけで・・・?

                そもそも、これらの情報が公開だというなら、
                個人情報保護法とか要らないわけですし…
                公開じゃない情報を多数集めたりした場合
                制限が出てくるわけですから。

                それに対し、センセはこれらの情報を一般に対する公開という意味合いの基、
                理論を展開しているわけで、それは違うだろということ。

                ##公開って意味がわかって無いとしか思えないんだけど…提示などとは意味が違うよ。
                特殊な使い方もされてないし辞書のママの意味だよ。

                親コメント
          • > 発想に違和感を覚える
            そこは多分意図的に危険な条件を想定して話してるのだと思います。
            セキュリティを考える時は悲観的な想定でないと意味が無いので、普段の思考方法から見れば違和感があるかもしれませんが、恐らくセキュリティ屋さんには普通の思考方法です。

            そもそも、小数の意識低い人がカード番号と名前と生年月日と電話番号を公開しているだけで、問題視するには十分です。
            また、「電話帳or名刺その他の電話番号+SNSで友人が誕生祝いして誕生日バレ+実名制SNSで名前バレ+何らかの拍子にカード番号が写真にフレームイン」くらいは偶然の一致で公開されうる情報ですし、SNSで炎上した人の個人情報がネットに上がることもそこまで珍しくないことを考えれば十分アウトです。
            その上、今回は第三者企業がそれらの情報を収集してたので、被害の可能性は運の悪い少数どころではなくそのシステムに躊躇なく個人情報を入力した全員がアウトです。

            被害者(第三者に公開情報として開示してしまった人)がまず間違いなく存在するのに「その被害者は多数派じゃないから黙殺します」なんて言えません。

            報告の入れ方に関する批判は全く否定する気はないけど、思考法自体は(セキュリティ屋さん的には)普通です。

            親コメント
          • by Anonymous Coward

            >更に言ってしまえば、氏名・生年月日・電話番号をすべて教える場合、
            >相応のリスクを担保できる相手だからこそ教えるという判断が働いているわけで

            悪意を持って情報を集めようと思うなら、そんな情報は簡単に集まります。
            氏名・生年月日は免許証を見るだけで確認できますし、
            電話番号も、それほど強固に守るべき情報と捉えてる人は少ないのでは無いでしょうか。

            あなたはそういった情報を外部に出す時、「この情報を得うる人は全員が信用に値する」と確認した上で出しているのですか?

        • typo修正
          あなたは友人にも生年月日と電話番号
          嘘教えますか?
          親コメント
        • で何が問題なの?

          あなたの友人があなたの行動と買い物を知るのがそんなに問題なのですか?

          大体買い物といっても対象の店舗がコンビニとかファーストフード店などの小額決済しか基本無いので知られて困るような情報でもないと思いますけど。

          それに友達ならあなたの行動パターンとか趣味嗜好ぐらいならだいたい把握しているのでは?
          そういうことすら知られたくない人と友達付き合いをするのはやめたほうがいいですよ。

          親コメント
          • 趣味嗜好の話ではなく
            ”プライベートの範囲の問題”です。

            たとえば私は男ですが、
            「女性が生理用品をいつ買ったか、友人の男が簡単に知ることができる。」
            とか普通の女の人なら友人でも嫌なもんじゃないですかね。

            例えば
            「転職活動や習い事をしているけれども、まだ会社には言いたくない」

            とか
            PASMOを社員証につかっている会社などありますが、会社側が勝手に個人の社外の行動をすべて監視できてしまいます。

            友人だけに限った話じゃないんですよ。もっと本質(名前と電話番号は他人がいくらでも手に入る)を理解して、
            話しましょうね。
            親コメント
            • PASMOの利用履歴に購入品目まで出るのですか?

              それに
              >PASMOを社員証につかっている会社などありますが、会社側が勝手に個人の社外の行動をすべて監視できてしまいます。
              全てでは無いですよね。
              PASMOの利用履歴でわかるのはあくまでPASMOを利用した区間だけですから駅を降りてどこに行ったかまで把握できるわけではありませんが。
              だいたいそこまで神経質になるなら会社から支給されたPASMOで転職活動をする事自体がありえませんけど。
              そもそも転職活動は会社の業務ではありませんから会社から支給されたものを使って転職活動をしていることのほうがよほど問題ですけど。

              親コメント
            • ついでに登録して確認。
              物販は”物販”としてしかでないようですね。

              でも、友人でもない、赤の他人が
              プライベートの行動履歴を監視できてしまうのは変わらんわな。
              親コメント
              • だから会社は赤の他人ではありませんが。

                更に行動履歴を監視といっても駅やバス停まででそこから先は監視できないのですけど。

                まさかあなたは駅前に建物が一つとかしかなくて駅に降りた人はみんなそこに行くとか思っていませんか?

                大体会社がPASMOの利用履歴を使って社員の行動を監視したらその会社が個人情報保護法に違反していますからその結果を元に解雇とかされたら不当解雇で訴えることができると思いますけどね。

                あなたは他のIDの人と公開の範囲で討論していたようですけどそもそも会社は業務に関係する範囲内に関してだけ個人情報を利用する前提で個人情報を得ていますからそれ以外のことに利用したら違法なんですけど。

                親コメント
              • まず、
                電話番号、生年月日、氏名、PASMOIDが簡単にそろう代表として、
                社員証/学生証一体型PASMOを出してるだけですが。

                ビデオ屋のカード作るときとかに社員証を身分証明として使う可能性は0ですか?

                そもそも、業務で得た個人情報をつかってPASMOの他人の履歴を見ようとしたら、どんなときでも違法です。
                違法/違法じゃないに限らず”できてしまう事が問題”なんですが。

                違法なら問題ないとするなら

                サーバーにパッチ当てる必要も、sqlインジェクションふさぐ必要もないですね。
                不正アクセス法違反ですから。

                サイバーノーガード戦法信奉者の馬鹿ですか?
                親コメント
              • 瑣末な問題にここまで神経質になるなら社会との接点を排除したほうがいいですよ。

                そもそも
                >ビデオ屋のカード作るときとかに社員証を身分証明として使う可能性は0ですか?
                ビデオ屋の店員が個人情報の悪用をすることを心配したらビデオ屋のカードなんか作れませんけど。
                PASMOの社員証はおろか普通住所まで記載された身分証明証の提出が求められるのですから。
                下手をするとそもそも会員証がクレジットカードになっているところもありますのでそういうところだとクレジット番号まで漏れているでしょうね。

                それに駅までの行動しか把握できない程度の不完全な行動監視では問題ないだろうという私の主張はガン無視ですか?
                それともあなたは本気で駅で降りた人がみな同じ目的地に行っていると思っているのですか?
                そういう世間知らずな人とこれ以上論争する気にはなれませんからそうだったらもう返答しないでくださいな。

                >違法なら問題ないとするなら
                誰も違法だから問題ないと入っていませんが。
                違法だから問題ないのではなく違法な行為を元に解雇などという経済的不利益を被っても対処できるから問題ないといっているのですけど。
                あなたの挙げた例だとその不正アクセス法違反によって受けた損害に対処できるのですか?
                不正アクセスを受けた会社はユーザーに対して何らかの保証はするでしょうけど会社自体の損害は誰も保証してくれませんけど。
                だったら会社は自己の利益のためにサーバーにパッチをあてる必要があるに決まっているでは無いですか。
                あなたの意見って自分の意見を通すために人の意見の一部だけを取り上げているようにしか見えませんけど。

                親コメント
              • >それに駅までの行動しか把握できない程度の不完全な行動監視
                それを元に尾行なり、張り込んで特定するには十分です。
                考えりゃわかるだろに。

                >がみな同じ目的地に行っている
                あなたが勝手につけた後付設定でしょうが。私は一言も言ってませんが。ばかばかしすぎて相手にしなかっただけです。

                >あなたの意見って自分の意見を通すために人の意見の一部だけを取り上げているようにしか見えませんけど。
                つ鏡

                そもそもの問題は”第3者が簡単に手に入れられるような情報で第3者が行動を関しできてしまう。”事がもんだいであり。
                PASMO社員証でビデオ屋カードはその提供シーンの一例でしかないんですが?友人というくくりもそう。

                一部だけ取り上げて自分の都合に捻じ曲げてるのはどっちだか?
                親コメント
              • だからそれだけ神経質になるなら社会との接点を絶ちなさいといっているのですが。

                会社がいちいち尾行する人員を割いてまで一社員の行動監視なんてするわけ無いでしょう。
                あなたの理論だと尾行する人だけで社員分の人数が必要(張り込みだともっと人間が必要になります)なんですけどその何の利益も生み出さない人たちの給料はどこから出るのですか?

                そして会社とかどこかの商店のような何らかの関係があるところでないと個人の氏名などの個人情報は取得できないのですけど。(他のIDにもあなたは言われていてガン無視のようですけど道ですれ違った人に氏名や生年月日を聞かれても答えないでしょう)
                そういう何らかの関係があるところが信用出来ないなら社会と隔絶した生活をするしかないですけど。
                大体「第三者が簡単に手に入れられる」という前提自体が間違っていて企業であっても個人情報の取得や利用には制限があるといっているのですけど理解できませんか?
                さらに言えばそれで得られる情報に違法行為を犯してまで取得するほどの価値があるとは思えませんし。

                はっきり言ってしまってあなたの心配は「杞憂」でしかありません。

                確かに第三者が行動の監視ができてしまうことは問題でしょうけどその結果特に金銭的不利益を被らないのであればここまで神経質になる必要はないと思いますけど。(世の中この程度よりもっと問題のあるセキュリティーリスクは山ほどありますけど)

                親コメント
              • だれが
                >会社がいちいち尾行する人員を割いてまで一社員の行動監視なんてす

                尾行の話を会社だけの話にしましたか?会社の話は”手に入れる方法、手に入っている方法の一例”だと支所から言ってますが。

                >確かに第三者が行動の監視ができてしまう
                >駅だけじゃ行き先はわからない

                に対するこたえでしかないんですが。>はりこみ。

                第3者ならだれでも駅がわかって張り込むことができるわけですが。それこそストーカーでも。
                無理やり瑣末にこだわって問題を無理やり縮小化して見せようとしてるだけじゃないですか。

                >そして会社とかどこかの商店のような何らかの関係があるところでないと個人の氏名などの個人情報は取得できないのですけど。(他のIDにもあなたは言われていてガン無視のようですけど道ですれ違った人に氏名や生年月日を聞かれても答えないでしょう)

                その話が出る前に例をあげて答えてますし、他のかたも例を挙げて答えてるからです。

                すれ違った人には答えないでしょうが、自分と直接関係ない人間に氏名がもれる例(大枠では遠い関係はありますが)

                再度、移しますと。
                ・友人がその友人に自分を紹介。先に名前は伝わるでしょう。
                ・基本的に直接の関係ない遠い支社の人間(社内のメールアドレス検索など)
                ・学校のクラスの人間など

                しかも、このシステムは、ある程度近く、親しくもない人間が一番悪用しやすい。
                学校で同じクラスで気に入らないやつなど。

                >大体「第三者が簡単に手に入れられる」という前提自体が間違っていて企業であっても個人情報の取得や利用には制限があるといっているのですけど理解できませんか?

                法的に制限があっても、利用する人が(悪用する)人がいるから問題なんですが。
                制限は法律の問題。 法律があれば法律を守らない人しかいないんですか?
                違法/違法じゃないの問題じゃないと何度いえば。できることが問題なんです。悪用する人はいるんですから。
                (なつかしのヤフーの個人情報の件しかり)

                >さらに言えばそれで得られる情報に違法行為を犯してまで取得するほどの価値があるとは思えませんし。
                そんなものは立場によりますし、あなただけの主観。

                先ほども出しましたが、クラスのいじめ側がターゲットに対して何か仕掛けるために監視とかは重宝するでしょうね。
                ストーカーの張り込みも。

                金銭だけの問題じゃありませんよ。プライバシーってのは
                親コメント
              • >だからそれだけ神経質になるなら社会との接点を絶ちなさいといっているのですが。
                ばかですか?

                このばかげたセキュリティもないシステムがなければ、
                普通に名前と電話番号だけで行動がわかるなんて事ないわけですが。

                だから、高木先生は”サービスを停止せい”といっているわけです。

                なんで、pasmoが勝手にやった悪事のためにこちらが社会との接点たたなきゃいけないんだかw
                親コメント
              • だからそこまで社会が信用出来ないなら社会と隔絶した生活をしてくださいと何回も言っているのですけど。

                何を反論しても聞く耳を持たない様なのでこれで最後にしますけどあなたの心配は杞憂だといっているのですけど。

                それにあなたの心配はPASMOがなくても起こりえますからPASMOだけ取り上げて問題視するのもおかしいのですけどね。

                親コメント
              • PASMOがいやならケーキを食べればいいのよですか
                わろす

                不味いものは不味いぞ

                --
                Copyright (c) 2001-2014 Parsley, All rights reserved.
                親コメント
              • >なんで、pasmoが勝手にやった悪事のためにこちらが社会との接点たたなきゃいけないんだかw

                経路の一つを遮断するんじゃなくて、「リスクを回避する」なら今や社会との接点を絶たなきゃダメでしょ。

                仮にPASMOが停止したとしても、そういうばかげたセキュリティもないシステムが存在しないことが保証されていない。
                今やあなたの名前と電話番号と紐づけられたデータベースは山ほど地球上にあってそれが恣意的に公開される可能性と、悪意によってこじあけられる可能性が常に存在する。それらは遅かれ早かれ発見され、第三者が自動化されたソフトウェアによって合併集積していく可能性もある。そうなった場合、後から情報を削除できる見込みはない。

                親コメント
      • まぁ、私も高木先生がサービス停止に持って行こうとしているところは、あまり同意できないですけど、
        デフォルトで公開ってのは突っ込まれてしかるべきポイントかなとは思います。

        使いたい人が使う分には問題ないですし便利なサービスですが、せめて申込書とかに
        「使いたい人はここにチェック」みたいな項目があって、デフォルトはOFF。とするべきだったんじゃないかなぁと思います。

        その上で、よく分からないけどチェックを付けたって人に対しては、自己責任と言い張っても良いとは思いますが。

        親コメント
        • by uron (39597) on 2012年02月28日 13時00分 (#2107511)

          センセの日記を読んでる限りでは、このサービス自体はデフォルトOFFのようです。
          問題はONにするときに公知の情報だけで出来てしまうと言うところ。

          日記から該当箇所を引用させてもらうと、

          PASMOのカード番号(IDi)と、氏名、生年月日、電話番号(電話番号は不要の場合もある)さえあれば、
          アカウントを作成でき、そのアカウントでそのPASMOの乗車閲覧を閲覧できてしまう。

          ということで、アカウント自体は作らないと出来ないんだけど、家族とかtimesとかストーカーあたりなら
          勝手にアカウント作れてしまうようなシステムで、アカウント作成時の本人確認の部分に問題があると言うことですね。

          # pasmo側はこれらの情報は秘匿情報であり、公開した場合は本人の責任であると主張してるんですな。
          # そして「んなわきゃない」と言うのがセンセの突っ込み。

          --
          スルースキル:Lv2
          Keep It Simple, Stupid!
          親コメント
          • うんでもね。「マイページ停止センター」というのがあって、ここに連絡することでアカウントを登録できないようにできるんですよ。これを「オフ機能」だとすると、デフォルトでオン状態と言って差し支えないと思いますよ。

            親コメント
            • とりあえず自分についてはマイページ停止の手続きをしました。マイページ停止センターに電話して、PASMO番号、氏名、生年月日、電話番号を伝えるだけで停止。これも本人でなくても情報を知っている人ならできることになりますね。

              その電話口で言われたことなのでどこまで信用していいかですが、再度マイページを開始するには電話ではだめで書面による手続きが必要だそうです。なので、本人以外が復活させることは出来ないようになっているのかなと思います。この点は比較的安心できました。(復活も電話で出来るのなら停止の意味が無いから)

              親コメント
          • by Anonymous Coward on 2012年02月28日 16時32分 (#2107684)

            その上更に問題なのは、その作ったアカウントのログインパスワードを知らなくても

            https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

            マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。

            と有るように、再登録だけで簡単に上書き取得できちゃうので、
            サービス停止してもらうしかプライバシーを守る手段が有りません。

            だからセンセイもこんなサービスはさっさと止めろとしか言い様が無いでしょう。

            親コメント
          • by Anonymous Coward

            それを

            > デフォルトOFFのようです。

            と表現しちゃうのは、本件の論点を理解できてない証拠だと思うけど?

        • by Anonymous Coward on 2012年02月28日 16時48分 (#2107704)

          センセイがさっさと止めろと仰るのは、それ以外に利用者が自分のプライバシーを守る手段が無いからです。

          発行済アカウントのパスワードが分からなくても
          再度登録するだけで上書き取得出来てしまうので。

          マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。

          https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

          親コメント
        • by Anonymous Coward

          過去に遡ってこうすべきだったとか言っても、今更どうしようも無いですよね?
          それにきちんと周知されていればよかったという類のものでもないと思う。

          結局、一旦サービス止めて改修する以外に方法は無いんじゃないでしょうか。

      • そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
        使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。

        というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
        利便性を優先する方が良いと思う。

        までは、nciさんの個人的な話。これと、

        それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
        現状そんなに瑕疵があるとは思えないなあ。

        が結びついたらいかんと思う。セキュリティの話では。

        nciさんはPASMOみたいなサービスを申し込むときに、生年月日を偽って記載するのでしょう。
        ただ、そんなことを他の利用者がやっているとは思わない。

        多分、nciさんが想像しているより、世間の人は簡単に、
        簡単に名前と生年月日と電話番号を公開してるよ。誰彼へも公開ということは勿論無いにしろ。
        それと同時にPASMOの番号について気を払って秘匿している人も少ないでしょう。

        でもって、nciさんの仰るように、

        ##私もこの機能知らなかった。今後使おうと思うよ。

        多くの人にとってはこの機能(セキュリティの脅威)は知られていないと思う。

        これだけ材料が揃ってしまったら、この問題はやはり指摘されなければならないものだと思うよ。

        私も気を付けているけれど、リテラシーの高い人基準でセキュリティを定めたらいかん。
        一般的にどう利用されているか、どう悪用され得るか、というシーンを想定して考えないと。

        親コメント
      • by Anonymous Coward

        > 利便性を優先
        覗こうとしている人にも便利だけどね。

        とにかく、利用したいと思っている人たちだけでやってくれないかな。
        気が付いたら加入、仕組みはザルってのは勘弁してほしい。

    • 駅の券売機で出せる明細だけだと思ってました。
      親コメント
      • by Anonymous Coward

        私もです。
        ICカードをつかってる意味がない。
        というか、felicaのリーダーは一般販売されてるんだから、
        それを通さないと読み出せない仕組みであれば同じサービスは提供可能。

        つか、そうしないとICカードを使ってる意味が(セキュリティ的には)ない。

        クレジットカードについてるEdyの自宅チャージとかはそうなってた記憶が。
        (使ったことないけど)

        • by Anonymous Coward on 2012年02月28日 16時38分 (#2107692)

          交通系ICカードは、仕様上利用履歴を20件しか保持できません。
          駅の券売機やWebサービスで20件以上印字・確認出来るのは、サーバーとオンラインで接続されている為です。
          それが出来ないPaSoRiや、一部駅の券売機、他事業者(PASMOをJR東日本やSuicaをJR東海で等)で履歴を印字しようとしても最大20件までしか印字されません。
          (駅名が出ないのは内部番号と駅名を対応付けるインデックスが無いからであって、別の問題です

          3か月以内のすべてで20件以上閲覧可能な事からPASMOのこのサービスはオンラインで接続されるサーバーから利用履歴を引き出していると推察されます。

          親コメントのようにFeliCaリーダーを利用するとしても、カード内の何を使って認証するかが問題になりそうです。
          例えばIDi(裏面のPB~)だけを認証に使うのではクライアント内で変換する以上、そこを突破されると他人の物を見放題になるという現状より悪化する危険性すらあります。
          ですので入念なシステム設計、それこそ高木先生を呼んでセキュリティ業界の当たり前を教えてもらう位の気合いが必要になるはずです。
          個人的には、オプトイン方式に変更が一番安全だと思います。

          #業界関係者なのにこのシステムの存在を知らなかったのでAC

          親コメント
        • by Anonymous Coward

          そもそもとして確かSuicaとかPASOMOって内部にもユニークな番号割り振られてるはずですよ
          バーコード印刷されているのは鉄道各社が割り振ったユニークな番号でICカード自体としてのユニークキーが内部に存在しています。
          だから、手間でも見たい人はそういうICカードリーダーで内部番号との一致することの確認と窓口での申し込みを作るべきなんですよね

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...