パスワードを忘れた? アカウント作成
13429561 story
バグ

楽天カードで住所などを第三者が勝手に変更できる問題が見つかる 34

ストーリー by hylom
なぜ変更してしまうのか 部門より
あるAnonymous Coward 曰く、

楽天カードで、第三者によって勝手に登録している住所を変更できてしまう問題が見つかったという(けんすう氏のTweetTogetterまとめ)。

適当な楽天IDを取得し、他人の名前や生年月日等を使って楽天カードの申し込みをすると、その入力した個人情報に該当する個人がすでに楽天カードを保有していた場合、ここで入力された住所に勝手に登録住所が変更されてしまうと言う。

楽天カードからの郵便物は登録住所に送られるため、これによって情報漏洩が引き起こされる可能性もある。

ITmediaの取材によると、楽天は11日にシステムを見直し、この問題を修正したという。

  • by Anonymous Coward on 2017年10月12日 17時26分 (#3294656)

    楽天カード申し込んだ人が、間違って私のメールアドレスを登録していました。

    お申し込みありがとう
    から始まって、
    キャンペーンのお知らせやら、いつものしつこいメルマガに混じって、
    ご利用明細
    まで送られてきましたので、これは流石にまずいな、と。

    指摘しようにも楽天カードの「無料の」問い合わせ窓口はいくらさがしても見つからず、やっと見つけたチャットも応答が無く。
    #有料の電話なんて意地でも使いたくなかったので。

    別の楽天系サービスの窓口から指摘してやっと解除されました。

    最初にメアド登録するときに、テンポラリの確認メールを送れば防げるのに!

    # 日頃からtypoが多い人は、気をつけた方がいいですよww

    ここに返信
    • セゾン系のクレカの発行で間違いメールが来た事がありますね。
      自分が利用してないサービスはフィッシングなのか間違いなのか判断が付きにくいですね
      訂正するにしても自分の時間や電話代みたいなお金を消費する事に抵抗もありまし。

      過去に特に酷かったのがNTT西日本,AppleID,Twitter,マクドナルドのスマホアプリ,バスケのBリーグ,バイトのan等ですね
      自分のメールアドレスを覚えられないまともに入力できない層というのが存在する事を思い知りました。
      また入力されたメールアドレスを即信用してメールマガジンに登録するような狂ったサービスがあることにもビックリですよ。

      #マクドナルドのスマホアプリとバスケのBリーグはまだ解決できてないんですけどね

  • キーが電話番号 (スコア:4, 参考になる)

    by ymasa (31598) on 2017年10月12日 15時47分 (#3294581) 日記

    同じ電話番号のデータを上書きしてしまうらしい。

    https://twitter.com/juntan_xxx/status/917898413462585344 [twitter.com]
    この情報だけから推測すると、同一人物とするKEY情報が電話番号だけのようですね。

    ここに返信
    • by backyarD (36899) on 2017年10月12日 16時25分 (#3294603) 日記

      名寄せと同定のプロセスが弱いのもあるのですが、与信審査に通っていないにも
      かかわらず、自動的に同一者と思われるデータの住所をUpdateしてしまっている、
      ということでしょうか?

      どっちかっていうとそちらの方が怖いように思うのですが……。

      勘違いだったらごめんなさい。

      #ちなみに私の住所は無事でした ←楽天カードユーザー

      • by Anonymous Coward

        その通りみたいですね。

        カードは発行されてないのに
        同一人物とみられる人間のレコードを上書きしてしまってる。
        しかも本人確認もせずに。

    • by Anonymous Coward

      ユニークキーの問題ではない。
      >名前、生年月日、電話番号、勤務先
      この4つが一致していて別人として扱えというのもおかしな話。

      • by Anonymous Coward

        そりゃ現実には限りなくゼロに近いけど、悪用される想定がすっぱり抜け落ちてたということですね。

      • by Anonymous Coward

        先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった
        その際に2年前に転職&引っ越しした時の処理をしてなかったことがわかって、そのまま電話にて更新
        昨日カードが届きました

        電話応対で住所、携帯電話番号、勤務先、年収まで変更できるって凄いよねぇ
        ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった
        変更した事実を登録済みのメアドあてに教えてくれてもいいんじゃね?と思ったが、キャリアも変えたのでケータイメアド宛に送られても届かないんだよね

        • by nemui4 (20313) on 2017年10月13日 7時21分 (#3294984) 日記

          >先日楽天じゃないクレカを紛失してしたので電話して止めてもらったんだが、その時の本人確認がまさにこれ、+干支だった

          日本生まれではない人なら干支を知らない可能性ありそう。
          両親が日本人でカナダで生まれ育って成人後日本で働いていた知人は自分の干支を知らなかった。

        • by Anonymous Coward

          >ぶっちゃけ旧住所は忘れかけてたけど、そこは向こうの好意でOKしてもらった

          まさに、ソーシャルエンジニアリングの弱点がこういうのだよね。
          ApplePayにクレカを追加する際の本人認証も同じようにザルだから不正利用が増えちゃってるわけで。

      • by Anonymous Coward

        ユニークキーの問題ではない。
        >名前、生年月日、電話番号、勤務先
        この4つが一致していて別人として扱えというのもおかしな話。

        その4つを知っている人が別人である可能性はないってことですか?

        • by Anonymous Coward

          別人としてカード発行するのがおかしいという話。
          今回の件でもそこはちゃんと名寄せされカード発行はされなかった。

          別人がカード発行を申請できるのがおかしいというなら
          パスワードに相当する「本人しか知り得ない何か」が必要になる。
          しかしID自体は新規作成なのでそのパスワードは使えない。

          名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
          というメッセージ出して処理中断とかできるのだろうが、そうではなかったのだろう。

          つーことでとれる対策としては
          ・名寄せが瞬時にできるようにする
          ・(それが無理な場合とかそれでも瞬時の名寄せに失敗し後の審査でわかった場合)住所変更をカード審査に落ちた段階で元に戻すとか、そもそも新カードの申し込み処理で旧カードの住所変更をしないとか。
          になるのではないか。

          • 名寄せが「瞬時に」できるなら、「あなたはすでに楽天カード持ってますよ」
            というメッセージ出して処理中断とかできるのだろうが

            それはそれで駄目ですね。

            そのやり方を繰り返せば、電話番号勤め先等の情報があれば
            誰が楽天カードを持ってるか調べあげることが出来てしまいます。

            --
            --------------------
            /* SHADOWFIRE */
          • by Anonymous Coward

            (#3294684)
            >複数持てるようになっていてもおかしくは無いと思う。

            そうであるならば、(かつ、名寄せが瞬時にできるなら)
            >「あなたはすでに楽天カード持ってますよ」というメッセージ出して処理中断
            ではなく、
            ・旧IDのパスワードを聞く
            という手が使えますね。

        • by Anonymous Coward

          ちょっとまて。これってば、被害者側がすでにカードもってたから加害者は
          (住所変更には成功しても)カード入手できなかったが。

          被害者が持ってないカードを加害者が申請したら?
          ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
          本人確認ってどうやる?
          「あなたはカードを申し込みましたか」って電話で確認するとしても、
          新規なら電話番号も加害者側の捨てケータイとかでも良さそう。

          そのへんちゃんと審査してるんだよな?

          • by ymasa (31598) on 2017年10月12日 20時51分 (#3294834) 日記

            被害者が持ってないカードを加害者が申請したら?
            ほぼ友人知人なら知ってて当然な情報だけでカード申し込みできるとするなら
            本人確認ってどうやる?

            最終的にはカードを本人に届くかどうかでしょうね。
            本人限定受取郵便で本人確認をするのが基本では?
            (なんとなくしてないようにも思うけど)

          • by Anonymous Coward

            楽天カードって受け取る時に免許証を提示するだけで本人確認は終わりだし。
            実質的に本人確認が機能してない。

            • by Anonymous Coward

              運転免許証なら良いのでは。公的機関が発行した顔写真つき身分証明書だし。
              顔写真ないやつ(健康保険証とか)でもOKだとちとアレか?

          • by Anonymous Coward

            普通は本人確認書類くらいは送るでしょ。
            ほんでカードも、簡易化書留くらいでその住所あてに送ってくる。

            それを受け取った何者かが自由にその家に入れるなら、カードでもなんでも
            盗り放題なので、それ以上のセキュリティ対策は意味ないだろう。

            • by Anonymous Coward

              この手の詐欺って空き家とか電話代行業の事務所とか使うパターンが定番っぽいので、
              (申し込みがWebだけで完了する場合は特に)簡易書留くらいじゃダメなのでは。
              ハンコかサインひとつで受け取れてしまう。
              身分証明書を要求する「本人限定受取」の郵便物とか宅配便とか使うのがフツーでは。

  • by Anonymous Coward on 2017年10月12日 16時50分 (#3294630)

    件名:【重要】カスタマセンターからのご案内【楽天カード株式会社】
    利用SMTP:CommuniGate Pro SMTP
    メーラー:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

    本文はHTMLエンティティ化されていて
    テキスト表示では化けています

    特徴が同系統のもので
    Apple IDを狙ったものも出ています

    件名:あなたのApple IDのセキュリティ質問を再設定してください。

    # 件名などのそれっぽさが日本人が絡んでそうなかんじ

    ここに返信
  • by Anonymous Coward on 2017年10月12日 16時35分 (#3294615)

    >調査したところ他には同様な事案はなく、けんすうさんの1件だけだったと説明している。

    これ、嘘くせぇよなぁ。
    他人の住所氏名でカードを申し込むなんて悪意を持ってなきゃやらないと思うんだが、
    ほかにも数多ある悪意の実行手段の中からなぜこの方法を選んだのか。
    こういう仕様を事前に知ってたからなんじゃないの?

    悪意がなくても、

    楽天カード作る → 引っ越す → もう1枚カード作る → あれ、前のカードの住所変更忘れてたのにいっしょに変更されたぞ

    という事例は、多くないにしても数件ぐらいは起きてないとむしろ不自然な気がする。

    ここに返信
    • 1件のわけがないですね。

      件のツイート主にこれをやった人間は
      明らかにこの仕様を知ってたわけですから、
      試験的にでも何件かは試したであろうことは想像に難くない。

      他人から聞いたなら他にも知ってる人間がいることになるし、
      自分で発見したとしても確信できるまで試行しただろうし。

      --
      --------------------
      /* SHADOWFIRE */
    • by Anonymous Coward

      IDは同一人物が複数とれるにしても、クレジットカードって同一人物が同一カードを複数持てるものなの?
      そんなことができるとしたら限度額なんて意味ないことに。
      普通は名寄せするんじゃないの?そして今回みたいに(カード発行自体は)弾かれる。

      • by Anonymous Coward on 2017年10月12日 19時22分 (#3294759)

        同一イシュアで複数のカードを持ってる場合は、最大利用可能枠は一番高額のカードの枠に設定されるのが一般的ですね
        カードA「100万円」、カードB「60万円」ならA+B併せて使える枠は100万円まで、もちろんB単独だと60万円
        イシュアにもよりますが同一のカード種別でも、ノーマル+ノーマルは不可でも、国際ブランド違いのノーマル2枚、ノーマル+コラボデザインやノーマル+ゴールド以上はOKというパターンも多いですし、
        同一イシュアで提携企業などカード種別が事なれば、複数所持が禁じられている方が珍しいです

      • by Anonymous Coward

        >クレジットカードって同一人物が同一カードを複数持てるものなの?

        提携先が違えば(会員証なんかを兼ねてたりすると)作れないと困るし、
        引き落とし口座だけ別のものにしたいなんて需要もあるだろうし、
        複数持てるようになっていてもおかしくは無いと思う。

        名寄せできるなら個々のカードの限度額とは別に全体での限度額も
        管理できるだろうし。

      • by Anonymous Coward

        >クレジットカードって同一人物が同一カードを複数持てるものなの?

        持てます。
        完全に同一ではないですが、某カード会社のを3つ持ってます。
        ・通常のクレジットカード
        ・某オンラインゲームの提携特典目当てのカード
        ・家のローンを申し込む際に半強制的に作らされたカード
        名義は同じで登録してるので限度は多分トータルでのチェックでしょう。

  • by Anonymous Coward on 2017年10月13日 11時23分 (#3295068)

    他のカード会社はどうやって管理してるんだ
    てか楽天はどう対処したんだ

    ここに返信
  • by Anonymous Coward on 2017年10月13日 13時43分 (#3295134)

    危なっかしいから一度も楽天で買ったこと無い。やっぱ外資系しか信用できまへんわ。

    ここに返信
    • by Anonymous Coward

      楽天って創業時期くらいから見てるが、当時から楽天が作るものは何かしら
      単純な原因なのに重大な問題を引き起こす欠陥を持っていることを繰り返している。
      コードか仕様が雑というか、こんな素人プログラマーが作るようなシステムなのに
      なんでこんなに利用者が増えるんだと不思議に思っていた。

      普通、創業から17年もたって日本の大企業になってたらそれなりに品質管理が
      整って良くなるものだけど、楽天だけは改善しないのはなぜ?

      • by Anonymous Coward

        そういう面倒な問題意識を持たない優良顧客だけを確保していることが同社最大の強み。
        日本の消費者のクォリティとニーズにマッチしたサービス水準を維持しつづけています。

    • 「なんとなく嫌い」って人が多すぎると思うよ。
      まぁ、楽天で何か買い物したらスパムメールが来るようになるから、あながち「なんとなく」の感覚は間違っちゃいないのだけど。

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...