Tag Archives: security

ライフカードとソーシャルエンジニアリング

warning_lamp

warning_lamp

ライフカードに問題を理解してもらえなかった話(以下、とくにメモを取っていなかった前半は、細かい言い回しが少し違っているかもしれない)

仕事中、席に戻って携帯を見たら留守電が入っていた。聞いてみると、クレジットカード会社からで、連絡くださいとのこと。なにかトラブルかと思ってあわててそのフリーダイアルの番号に電話をかける。名字を言って「電話をいただいたようなのですが」というと、下の名前と誕生日と電話番号を聞かれたので答えた。はいここテストに出ます。で、肝心の話は、というとおまとめローンの勧誘ということで、もうその言葉が始まったとたんに思わず私は「営業ですか(嘆息)」と漏らしてしまう。仕事中だぞこっちは。こちらの様子を察したのか「興味ないです」と一言言うと、すぐに引き下がった。

が、ちょっと待て。さっきの本当にカード会社か?

どこの誰かもわからないフリーダイアルに、私は本名と誕生日と電話番号を伝えてしまったのかと思って焦る。実は少し前にカード会社とのやりとりがあったり、ちょうど巧妙なスキミングの注意を見たこともあって、どんどん不安になる。フリーダイアルの番号を検索すると「カード会社の勧誘だから無視しろ」というようなページが見つかったが、念のため確認することにする。Webでカード会社の問い合わせ番号を調べて、そこに電話した。

最初にカード事故/紛失要件などとフィルタされて、しばらく待たされたら担当のオペレータの方が出た。要件(フリーダイアルの番号が正当なものか)を言うと、答える前にこちらの同定のための質問をされる。質問は、カード番号、誕生日、フルネームと登録している電話番号だった。はい、ここもテストに出ます。すると、カード会社から電話をかけた時間と、こちらがコールバックした時間を言われて、間違いないものです、と教えてくれた。

どうでしょう。

水曜どうでしょう。

よく、銀行やATMの場所に「行員が銀行の外や電話で、カード番号や暗唱番号を聞くことはありません」とあるが、この場合、カード会社が個人の同定に使う情報を、自分自身の営業電話で聞き出しているのだ。つまり、今回は大丈夫だったが、この相手が悪意のある者だったら営業電話とまったく同じ質問で簡単に個人同定のための情報を取得できてしまうことになる。ユーザはそれが悪意があるものかカード会社か区別はできない。

ということで、そのオペレータの方に、個人同定のために使うフルネームと誕生日と電話番号を営業電話で聞くのは納得できないので、改善してくれないでしょうか、と言うと、上の者に伝えておきます、と答えた。悪いくせなんですけど、流されたら困るなと思って、ここでまるで仕事みたいに「伝えた結果、どう改善したかを連絡してください」と言ってしまう。オペレータさんには申しわけないことをした。

もちろんオペレータの方はそんなコミットをする権限はないだろうから「上の者に変わります」と言ってかなり待たされてインフォメーションセンターの責任者という人に変わった。この方の説明によると、カード会社から電話をかけた場合は、あらためて同定情報を聞くことはないが、客から電話がかかってきた場合は確認するとのことだ。でもこの手順を、営業の留守電へのコールバックで行うと、そのときお客さんは誰かわからない相手に同定情報を言っていることになる。

ということで、私は営業電話のこの手順を変えられませんか、と伝えた。ところが、この私が疑問を持っている内容をこの担当者がなかなか理解してくれない。営業マンが、コールバックの電話に対して暗証番号を聞いたり、母親の名前を聞いたり、昔買っていたペットの名前を聞いているのと同じことなのに。

その場で私も考えたが、手順を変えるのは簡単で、コールバックされたら、いったん切って、またその相手の電話番号にかけ直せばいいだけだ。そうすればユーザは不明な相手に個人同定情報を伝える前例をつくることなく、カード会社も営業活動が行える。しかし、これも相手はどうも理解していない感じだ。私、説明下手だからな。やりとりをするうち、向こうの慇懃無礼な感じに腹も立ってきた。こちらは窓口になりますのでわかりません、って窓口だから分かる人に伝えて欲しい、みたいな。ただ、これは双方熱くなる感じがあったのでこちらも悪かったかもしれない。申しわけないことをした。でも、電話のあと、冷静になってから考えてみてもやっぱり

  • コールバック電話には、もう一度かける手順にして(同定情報は気軽に聞かないで)
  • 同定情報を聞くまえに、営業電話と言って(カード会社からの電話は焦るので)
  • 営業電話で留守電を入れるときは、要件を言ってほしいな(これはwant)

と思った。ユーザとして気をつける点は、

  • カード会社を名乗っていても気軽に同定情報を伝えない
  • 同定情報を聞かれたら、まず要件を聞く
  • 陸海空軍その他の戦力は、これを保持しない

ということだ。たかが誕生日や電話番号に神経質になりすぎかなーともちょっと思ってるけど、高木浩光さんはJavaHouse Brewers ML時代に親切にされたことがあってよく読んでいるのでどうしても気になってしまうのだ。

クイック・ジャパン (Vol.52)
太田出版
売り上げランキング: 7,046