JCBカードの「秘密の合い言葉」の突っ込みどころ

JCBカードから秘密の質問を設定するよう案内メールが来ました。

今さら感が半端ないですが、JCBカードから会員向けのWebサイトであるMyJCBにログインするときに「秘密の合い言葉」を設定するよう案内がありました（表記も”合言葉”じゃなく”合い言葉”となっていて変換が面倒なので、IMEの変換を優先して以後は合言葉と表記するようにします）。

「秘密の合い言葉」について｜JCBカード

この合言葉というのは昔からありまして、私が初めて目にしたのは確かソニー銀行で口座を開いたときです。3種類ぐらい合言葉を設定して、Cookiesがない状態でのログインや振込などの際に本人確認のために聞かれます。

この一般的に秘密の質問と呼ばれる本人確認方法ですが、つい最近にGoogleが安全ではないとの研究発表をしています。

http://jp.techcrunch.com/20150521google-study-shows-security-questions-arent-all-that-secure/

新リサーチ: 「秘密の質問」を問い直す – Google Developers Japan

Googleも以前は秘密の質問を使っていましたが、現在、秘密の質問を設定する画面「セキュリティ保護用の質問」にアクセスすると、次のように表示されます。

アカウントにアクセスする際にセキュリティ保護用の質問はご利用いただけなくなりました。

セキュリティを保護するため、アカウントの再設定用の電話番号またはアカウントの再設定用のメールアドレスを追加することをご検討ください。

Googleは秘密の質問が安全ではないことを確認して、それを利用できなくし、より安全な手法にユーザーを案内しています。

その安全ではない手法でJCBカードはユーザーを保護した気になろうとしているのです。

いつも思うのですが、日本企業ってどうして、こう、遅いんですかね。

運用開始は2016年3月以降を予定しているそうで、いまは事前登録ができるようです。いまのところ、スキップできるリンクが用意されていますが、この後、これが必須になるのかどうかは先になってみないとわかりません。

合言葉の設定内容を確認してみたのですが、質問は選択式で他人でも予測しやすい以下の10種類でした。

卒業旅行で行った場所はどこですか？

子供の頃憧れていた職業は何ですか？

一番好きなフルーツの名前は何ですか？

子供の頃の一番の親友の名前は何ですか？

初めて見た映画のタイトルは何ですか？

最も好きな都市はどこですか？

子供の頃好きだった本の名前は何ですか？

初めて買ったCDの歌手名は何ですか？

母親の旧姓は何ですか？

一番落ち着く場所はどこですか？

この中から3つ選んで質問の答えを設定します。

1番目なんて学生が団体でワイワイ気軽に行ける近場とかなら韓国か中国か台湾かその辺でしょう。特に女子なら焼肉とブランド買いあさりツアーだろ。ヨーロッパ旅行って結構ハードル高いと思うよ。バイトとか相当頑張んないといけないと思うし。2番目の子供の頃の憧れの職業なんて、男の子だったら、新幹線の運転手とか飛行機のパイロット、野球選手、サッカー選手で、女の子ならケーキ屋さん、お花屋さん、アイドル歌手だろ。「意識高いプレゼンかますイケイケのビジネスパーソンになりたいですっ！」とか言う子がいたら会ってみたい。初めて買ったCDの歌手名なんて、俺、初めて買ったCDはドラクエの交響曲だったけど、歌手名はなんて書けばいいんだろう。すぎやまこういちかな？

ここにはないけど、他のWebサービスの質問内容によくあるのが「ペットの名前」なんだよね。ペットの名前ってセキュアなのかな。しかも選択肢が他にそれほどなくて、しかたなくペットの名前にする場合、ペットを飼っていない人は架空のペットの名前にする必要があります。俺なんてポストペットで飼っていた猫の名前にしているよ（なつかしー）。

閑話休題。

こういう質問は答えが推測されないようにするために、選択式ではなくユーザーが自由に記述できる方式のほうが、若干は有効な気もするのですが、見事に選択式です。

あとさぁ、答えの記述が「全角128文字以内。ひらがな、「・」中黒、「－」長音符。」なんだよね。漢字が使えないのか。なぜ漢字やカタカナ、アルファベット、数字が使えないのか。しかも全角とか。なぜ、あえて、プログラマーに全角ひらがな、中黒、長音符のチェックルーチンを組ませたんでしょうか。

極め付けに、注意事項にこんなことが書かれているんです。

「秘密の合い言葉」登録時の注意事項

第三者に推測されやすい答えは避けてください。

「秘密の合い言葉」について｜JCBカード

選択式で推測されやすい答えになるような質問ばかりで、これはないよね。

なんか、この機能自体、情報セキュリティの監査か何かに引っかかって突貫でつけました感があるんだけど、実際のところはどうなんでしょうか。だって、ユーザーのことを本気で考えているって感じが伝わってこないですから。

そして、最初にリンクしてある秘密の合言葉の説明のページを読み進めたら、すごいことが書かれているのを発見しました。

※誤った答えを規定回数を超えて入力すると、MyJCBワンタイムパスワードによるご本人様確認画面が自動的に表示されます。

※MyJCBワンタイムパスワードはご登録のメールアドレスにお送りしますので、事前にメールアドレスの確認・変更をお願いします。

JCBカードさん、こっち！こっちをなぜ前面に出さないの！？

あんじゃん、ちゃんとワンタイムパスワードの仕組みが！

こっち使おうよ…

なんかさぁ、日本企業ってどうして、こう、ずれてるのかね。

三菱東京UFJ銀行は2要素認証に「Time-based One TimePassword RFC 6238」ではなく独自の認証を導入してユーザーに不便をかけているし、ソニー銀行だって未だに秘密の質問だし、JCBカードは誤った方向に行こうとしているし、あとほとんどの銀行系Webサービスでパスワードを頻繁に変えるように求められるし（パスワードの定期変更が危険であることは、”聖闘士に同じ技は二度も通用しない”のと同じぐらい”常識”になりつつあると思っています）、パスワードの文字数と文字の種類が制限されているところが多いし、こんなことばかりしていると、ユーザーは海外企業にどんどん離れていってしまいますよ。

あ、もう、離れてるか。まあ、大手企業がどんどん滅んでいって、新しく起業する人が増えて、若い企業が育っていくのは、それはそれでいいのかもしれません。

大手企業並びに官公庁はもう少し襟を正したほうがいいと思いますよ。