パスワードを忘れた? アカウント作成
2563477 story
プライバシ

Ponta会員ローソンアプリユーザーは「他人の電話番号や誕生日の入手」や「自分の電話番号や誕生日の開示」をしてはいけない 77

ストーリー by hylom
下手に誕生日祝いもできないぜ 部門より
nojiri 曰く、

ローソンがPonta会員用のAndroidアプリ(ローソン公式スマートフォンアプリ)をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。

「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」(高木浩光氏による画面キャプチャ

なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。

Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。

ちなみにセキュリティ専門家の高木浩光氏によると、ID・電話番号・誕生日は不正アクセス禁止法の「識別符号」に当たらないとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ダイジョブ、ダイジョブ (スコア:5, おもしろおかしい)

    by TarZ (28055) on 2012年04月09日 17時32分 (#2132152) 日記

    「万一、誕生日の情報を第三者に知られた場合は、早急にサポートセンターにて誕生日変更の手続きを行ってください」

  • by tamanegi (38323) on 2012年04月09日 17時44分 (#2132159) 日記

    それならしょうがないな。

    • by Anonymous Coward

      友達のいるやつは会員になるなってのが正しい。
      利用規約として明示してあるんだから。

      でも、会員になる前に「流出」した情報について
      どうにかしてくれるわけじゃないところが穴だな。

    • by Anonymous Coward

      「敵(とも)」は友達に入りますか?

    • by Anonymous Coward
      それどころか,親兄弟も禁止ですがな.
  • by nojiri (27623) on 2012年04月09日 23時20分 (#2132349)

    別件なのでタレコミでは省略しましたが、ローソンアプリの規約には、トンデモナイ条項がまだあります。

    利用記録の保存 お客様がローソンアプリを利用した際、サーバーが自動的に、アクセス日時、IPアドレス、位置情報、クッキー情報、Ponta会員ID、IMEI(携帯電話の固体識別番号)、IMSI(SIMの識別情報)等のログ情報を記録します。

    http://twitpic.com/9794sh [twitpic.com]

    集められるものは、とりあえず集めておけという方針ですな。
    ローソンでの購入履歴を集めるだけならともかく、Webの利用履歴と端末情報が購入履歴に結びつけられます。

    …ところで、「携帯電話の固体識別番号」って、何だよ。>ローソン

  • 早速jbeef氏が (スコア:4, 参考になる)

    by applesorce (32289) on 2012年04月09日 21時34分 (#2132289) ホームページ 日記

    twitterまとめがありました
    ローソンWi-Fiが誕生日と電話番号を誰かに伝えることを禁止! @akiko_lawson @Ponta_now @wi2_300
    http://togetter.com/li/285635 [togetter.com]
    いつものごとく盛り上がってるというか・・・

    --
    かゆいうま
  • https://geo-online.co.jp/signup/?.next=https%3A%2F%2Frental.geo-online.co.jp%2Fsignup%2F

    というか,ポンタのメインページでは,
    会員ページへアクセスするのは
    「会員ID」「パスワード」なんだよな。
    http://www.ponta.jp/u/LWAS900/SLWAS900010.htm?p=%2fu%2fLWEM300%2fSLWEM300010%2ehtm

    なんで,こんなにちぐはぐなんだ?
    • ゲオの場合はそこでID・生年月日・電話番号を入力後、新ためてゲオのID・パスワード氏名・住所その他を入力させられる。
      アカウント作成後、ログインにはゲオ用のIDとパスワードを用いる。
      ゲオ登録後は同じPontaのIDで新規会員登録できない。
      レンタルするには、さらに店舗でカードと身分を証明するものを提示しなければならない。

      ゲオに関しては、悪用してもそのPontaのIDでゲオの会員登録ができなくなるだけかな。

      親コメント
  • これは使える (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2012年04月09日 18時25分 (#2132192)

    「私、誕生日に○○が欲しいな」
    「すまない、俺Ponta会員なんだ」

    • by Anonymous Coward

      どっちの誕生日?

      • by Anonymous Coward

        どっちでも

      • by Anonymous Coward

        Ponta会員は、手段の如何を問わず、他人の誕生日を入手しちゃいけないんだもんw

  • by Anonymous Coward on 2012年04月09日 18時05分 (#2132181)

    >同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。

    他方、アプリの利用にかかわらずPonta会員規約 [ponta.jp]が存在するわけですがそちらには同様の条項はありません。

    モバイルアプリを利用しない会員にはこの禁止条項は適用されないわけですね。

    • by Anonymous Coward

      なんかまた、お馬鹿な仕組みですねぇ。
      高木さんが書きますよ。

      • by Anonymous Coward on 2012年04月09日 20時10分 (#2132247)

        素人に毛が生えた程度の輩が公式サイトを4ページほどざっと見てみた感想

        ・トップページ(非SSLページ)からログインできるっぽい(試してはないのでちがったらゴメン)
         →パケット改竄への考慮なしですかね

        ・すごろくキャンペーンのページの下にはセキュリティ警告を無視するように説明
         →ブラウザのセキュリティ警告みたいな機能は無駄だと思っているかな?

        ・動的に生成されていると思われる個所に「生の&」(&ではない)を発見
         →必要だと思ったところ以外ではエスケープ処理を行っていない可能性が高いので
          XSSやSQLインジェクションがあっても驚きに値しないパターン

        とりあえず、家族がタヌキの絵につられてカードを作っていた気がするので
        一応注意するように言わなくては…

        親コメント
    • by Anonymous Coward

      携帯電話を契約するときは連絡先電話番号・誕生月日を開示しますね。

      つまり携帯電話を契約するだけで規約違反…。

  • >Ponta会員IDはレシートに印字されています。

    上4桁と下4桁以外は全部アスタリスクにするとか思いつかなかったのだろうか?

  • サービス一時停止はしないのね。
    http://www.lawson.co.jp/company/news/054116/ [lawson.co.jp]

  • IDはコンビニのレシートから
    電話番号は電話帳から
    誕生日はFacebook等のSNSから
    ・・Pontaポイントってそんなに溜まるもの?

    レシートは必ず持ち帰りシュレッダーかけろ、電話帳に電話番号乗せるな、誕生日は非公開設定にしろ。
    誕生日祝ってもらえないのもさびしいね(´・ω・`)
  • by Anonymous Coward on 2012年04月09日 18時32分 (#2132196)

    むかし、本名を知られると呪術に使われる可能性があるからといって、
    本名はごくわずかな親しい人にしか知らせず、ふだんは通名で呼び合っていた
    時代がありました。

    21世紀の現代、誕生日や電話番号を知られるとなりすましの可能性があるからといって、
    ふだんは通誕生日や通電話番号を使う時代がやってこようとしています。

    # 通電話番号って、役に立たないじゃん

  • by Anonymous Coward on 2012年04月09日 17時51分 (#2132169)
    いいか!○○するなよ!絶対にするなよ!

    これでシステム改善したことになるなら絶対に楽。
  • by Anonymous Coward on 2012年04月09日 17時59分 (#2132177)

    ロッピーって4ケタの暗証番号が必要じゃなかったでしたっけ?クレカだけ?

    • by Namany (19002) on 2012年04月10日 0時39分 (#2132376) 日記

      Pontaになってからかな?最近認証要らないです。
      今回のトピックはアプリの話だけど、カードであれば紛失しない限り他人に使われることはないし、紛失したところでたかがポイントだってことで割り切れる。

      だけど、それはそれで問題もあって。。
      過去のローソンパスは使用時に認証求められたんだけど、ロッピーの入力画面がものすごく盗み見しやすいんだよね。
      なので、ロッピー使ってるだけで暗証番号を公開しているようなもので、実質意味がなかった。
      しかし意味が無いだけならまだマシで、実はこの暗証番号がクレジットの暗証番号と共通なので、キャッシングできちゃう酷い仕様。

      この仕様考えたヤツ死ねよと、使う度に呪わざるを得ませんでした。

      親コメント
      • by kim339 (16339) on 2012年04月10日 22時42分 (#2133147) 日記

        しかし意味が無いだけならまだマシで、実はこの暗証番号がクレジットの暗証番号と共通なので、キャッシングできちゃう酷い仕様。

         うちの(以前使っていた)ローソンパスはハウスカードかつキャッシング枠ゼロをすったもんだの挙句設定して貰ったんだけど、肝心のクレジットが自動リボということで、知らずにクレジット払していたら1万円前後の利用で月に数百円のも利息が付いたという…。(ポイント分以上を現金で取り返されるわけです。)
         それでもってカードを渡すとバーコードスキャンした後レジスキャンして「意図しないクレジット払い」が発生してトラブルになって以来、店員に向けて「かざす」ことしかしなくなりました。

         結局カード期限切れでクレジットPontaの乗り換えをお勧めされたんだけど、ハウスカードもリボ収益狙いがイヤだし、何よりローチケクレジット優待があってもイベントチケット争奪でクレジット付きのアドバンテージがあるわけじゃないので、通常Pontaに移行しました。
        (そのときのポイント移行でロイヤルカスタマーとセゾンカードを何回たらい回しされたか…。)

         何より謎なのは、顧客情報を収集してその顧客のためになる情報を還元するつもりがあるのかどうか…。

        親コメント
    • by Anonymous Coward

      ローソン(あるいはPonta)のサービスとしては暗証番号やパスワードもあるんだけど、
      あえてこのAndroidアプリでは使わない形にしているらしい。
      意図は分からないけど、

      もしかしたらサービスを2階層にしてリスク分散しているのかもしれない。
      真っ当な認証を掛けた安全なサービスと、それをしない捨てサービスと、に。

  • by Anonymous Coward on 2012年04月09日 18時06分 (#2132182)

    将来的に、ほぼ全店(9000店舗)に導入予定と言うことからも、
    運営コストとユーザビリティ、情報セキュリティ対策等も
    きちんと考慮してのサービスインだった筈だろうに、
    どうしてこんな斜め上な規約がまかり通るなんて考えちゃったんだろ?
    バックには三菱だってついてるのに・・・。

  • 誕生日と電話番号を知られちゃ行けないなんて無茶なこと言ってないだろ!!1!
    よく読めよ!

    10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。

    ほら、IDと、誕生日と、電話番号を知られてはならないって言ってるわけだろ?
    たけど誕生日と電話番号なんて知られて当然だとすりゃ、知られちゃ行けないのはIDだよ!

    だからこれはPonta IDは登録したら最後絶対に開示しちゃいけないってことなんだよ!!
    手段のいかんを問わずね!もちろん店でも使っちゃいけないってことなんだ!!

    だからPontaをポイントカードとして使うのは間違い。
    入手したらまずカードを誰にも読み取られないように厳重に封印して、耐火・対盗難が施された金庫に厳重に保管するか、銀行の貸金庫にでもしまっておくのが正しいんだよ!

    ポイントが貯まってるって事は、一回でも開示したことがあると言う証拠。みてろよ、もうすぐ一斉にBANされるぜ!1

    • by Anonymous Coward

      ごめん、あんまりおもしろくなかった

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...