イオンカード会員には毎月1回サンキューパスポートという5~10%割引券が配布されている。配信はスマートフォンにプッシュされる方式だが、機種変更をすると新しい端末に割引券を移すことができないので要注意である。
以前ははがきで送られてきたが、2019年末で廃止された。以前からスマートフォンでも配信されるようになっていて、一時期は二重で送られていたが、2020年からはスマートフォンへの配信のみになる。
はがきは勝手に消えることはないが、人によってはなくしやすい。スマートフォンとどちらがいいかは好みによるが、使い勝手が変わっている。
どんなこと言うかと思ったが、ちょっと拍子抜けしましたね。あの程度の話だったら日本ですれば良い
2020年1月9日、レバノンに出国したゴーンさんの記者会見を受けて、西川前社長がコメント。
あの程度の話と思うのは一般市民はそうかもしれないけれど、当事者は別。あなたのせいで1年以上不自由だったと言われて「あの程度」はないでしょう。
じゃあ、司法取引なんかに応じないで、あなたも正式な裁判を受けたらどうなのか、と思いますが、いかがでしょう。あの程度ならいいんじゃないですか。
スマートフォンに大事な情報を任せることについて
Google PixelはiPhoneの代わりになるのか
Pixel 3a XLが故障した。iPhoneが壊れるとAppleのショップや代理店で修理を受けることができる。シェアが高いので部品在庫は豊富。本体価格が高いなりの安心感がある。
一方、Google Pixelはどうかというと、全国各地にGoogleショップが存在するわけではない。通信会社から購入した場合は他のAndroid携帯と同じように通信会社に送っての対応となる。問題はオンサイトで直接購入した場合、誰が修理してくれるのか。
Googleのサイトを探すと、2020年1月現在、iCrackedという業者が唯一の公式代理店として存在する。Google純正スマートフォンの展開はiPhoneと比べると歴史が浅く、シェアもそれなりなのでなかなか部品在庫まで純正で用意して待っていてくれる店が少ない。東京ならともかく、地方では難しいかもしれない。
もっとも、地方であればキャッシュレスもまだまだなので、端末が壊れたら中のデータの移行は諦めて新しいのに買い替えてもいいのではないかという意見もあるが、それではキャッシュレスが地方に浸透しない。
わたしはどうしたかというと、1店目では在庫がないとか、新品を買ったほうが安いのではないかとか、わたしの相談に対してやる気がない反応。2店目ではとりあえず見てみましょう、との前向きな反応である。たまたまどちらの店も家から同じ距離だったが、地方に住んでいて高速道路や新幹線を使わないと修理を受けられないような環境だったら途方にくれていたかもしれない。スマートフォンではないが、Suicaは、秋田では払い戻しすら受けられず、新潟まで特急で行ってくださいと言われるそうではないか。
通信会社は運送会社を用いた集荷、発送の仕組みを整備してきたが、おサイフケータイや多要素認証デバイスとなってしまい、人に預けにくいものになってきた。「稼働確認をしますからパスワードを教えて下さい」と電話で言われるかもしれないが、会ったこともない人に大事なデータや電子
マネー残高が入った機械のパスワードを教えるのは気が引ける。
対面で修理を受けられる店に任せるのが一番であり、パスワードが必要であればその場で自分で入力できるのがありがたい。故障したときは運が悪かったと思って、パソコンなり本なりを持ち込んで店で待つのがよい。スマートフォンはモジュール(半製品の組み合わせ)でできているから、どれだけ複合的に壊れていても3時間かかることはないし、それ以上かかるならそれは修復不能かもしれない*1。
スマートフォンが全盛期になってからは、しばしばiPhone vs. Androidの比較がされるが、操作方法を教えてもらいやすいか、周辺機器またはアクセサリーを入手しやすいかも重要であるが、大切なデータを保管するのであれば修理を受けられる環境にあるかということも確認すべきである。基本的に、自分で調べられない人は今からでもiPhoneにするべきだろう。
スマートフォンに入れて本当にうれしいか
国はようやくパスポート申請、受け取りの電子化推進を決めたようだが、ネットを見ていると「申請がネットでできるなら、パスポートはスマホに入れてほしい」という意見が出ている。
パスポートにはICカードが埋め込まれているので、実は今でも半電子化しているが、他の電子機器と統合するには至っていない。マイナンバーカードも同様である。
紙でも電子でも、わたしたちは日常的に自分が権利を持っていることを認めてもらうためのものを持ち歩いて、それを提示しながら生活をしている。運転免許証も健康保険証も印鑑証明カードもクレジットカードもすべてそうである。これらはすべて技術的にはスマートフォンに入れることができるが、現状はようやくマイナンバーカードと健康保険証の統合について検討されている程度である。
今ではスマートフォンは誰でも持っている。ここに身分証明書類が入ったら、普段使いでは便利になると思う。ただし今回、故障に伴い、サポートを受けられる店を探したり、新しい端末への移行をしたりする中で、スマートフォンに入れるべきではないのではないかもしれないと思った。
自分の情報をスマートフォンにまとめる上で有利な条件は揃っている
- 多くの人が持ち歩くことを苦にしていない
- 寡占が進み、規格の統一が用意
- 通信できるため、プログラムの入れ替えが可能
- 複数の書類をひとつにまとめることができる
一方で、次のような考慮点がある。
- 技術革新が頻繁なので、長期有効な証明書の場合はバージョン管理が大変
- スピーカー、マイクなど、様々な機器が複雑に絡んでいるので、壊れる頻度が高い
- 日常持ち歩くため、外出中の事件事故による紛失、故障のおそれが高い
- 日常手で触って操作するため、落としたり水をかぶったりしそうな場面が多い
- すでに他の機密情報を入れる手段として広く使われ、他の重要な情報と複雑に絡んでしまっている
- 故障した場合、リモート修理が普及していて「持っている人こそが本人」ということを完全に保証できていない*2
- 外部からプログラムの入れ替えが可能ということは、外部から不正プログラムの攻撃を受ける可能性がある
- まずは高価な端末を買う必要があり、証明書だけを単独で(再)発行できない
証明をするための機器、または、ICカードはスマートフォンとは別にした方がいいのかもしれない。ただ、それを言っているといつまで経っても我々は財布の中にたくさんのICカードを入れて持ち歩かなければならない。近年はあまり紙のポイントカードを渡されなくなってきた。もう少し本人確認が強めに求められる身分証明書もスマートフォンで持ち歩ければありがたい。
信頼点を別に持つということ
おサイフケータイを紛失してしまったとき、その残高を取り返すのはなかなか難しい。簡単に取り出すことができるのであれば、泥棒も簡単に他人のスマートフォンから残高を盗めてしまうからである。多要素認証も同じ。ID、パスワードの認証は漏れやすいので、ID、パスワードを「知っている認証」だけでなく本人だけが「持っている認証」を組み合わせることで、防御を強固にできるという考え方がある。インターネットで取引を行うときに、手元のスマートフォンに表示される数字などを必須にするセキュリティシステムが多要素認証として普及しはじめたが、スマートフォンが動かなくなってしまったときに「持っていないけれど本人です」と主張することがとても難しい。
そんなおサイフケータイや多要素認証プログラムを、たくさんスマートフォンに詰め込み、さらには運転免許証や健康保険証、パスポートまで1台に入ってしまうと、なくしたり壊れたりしたときの対応がとても大変になってしまう。
それがわかっていたから、以前はモバイルSuicaとは別にICカードのSuicaを持ち歩き、定期券と電子マネー残高はICカードに入れていた。ICカードならSuicaだけ再発行すればいいので、ICカードが使えなくなっても翌日からは再び使える可能性が高いと考えた。Suicaについては、定期券区間を短くし、残高も最低限にすることでリスクを抑えた。人生では時間も大事。再発行に時間をかけるのであればあきらめて新たに買ったほうがいいのではないかと考えることにした。ただ、他のものはそうはいかない。政府はマイナンバーカードの多機能化を進めているが、ICチップが読めなくなった場合の手続きはきちんと設計されているのだろうか。
紛失、故障の可能性を減らし、万が一発生した場合の手続きを簡素化する。そのためのシステム設計がとても重要である。
現在のおサイフケータイや多要素認証プログラムの欠点は、上記のような考慮点満載のスマートフォンにマスター情報を載せてしまっていることである。
きっと、自宅で管理するようなマスターキーをおいておき、そこから登録情報をスマートフォンに送ってセットするような仕組みにすればよいのではないか。自宅で管理するものであれば、日常使いで故障することはない。
スマートフォンが壊れたら、壊れた端末に入っている情報は全部あきらめる。しかし、新たに調達した端末にマスターキーから情報を送り込めば身分証明などに使う情報は復活させることができるようにする。
盗難だったら旧端末の不正利用を防がなければならない。マスターキーから新しい情報を発行すれば、その時点で旧端末の情報を無効にするようにすればいい。*3
マスターキーはワンタイムパスワード生成機のようなものにしてしまうとコストがかかるので「ID+パスワード+乱数表」でも十分ではある。ただ、パスワードを覚えられない人、忘れてしまう人が少なくない。それらをICチップに入れてしまおうというのがマイナンバーカードのコンセプトではあるが、そのチップがついたカードを持ち歩くのではなく、自宅でスマートフォンに情報を入れるときだけ使うようなシステムにしたらどうか。
半沢直樹II エピソード0
2020年1月にTBSで放映されたスピンオフドラマ。
ITを題材にすると、どうも本当の現場を知っている人には滑稽に見えてしまう。医療ドラマや刑事ドラマでもそうなのだと思うけれど、今回はセキュリティが題材になっている。セキュリティは業界の人でもきちんとやっている人が少ない分野でたびたび事故が起こる。攻撃者に立ち向かう崇高な意識と高度な知識を持っている人たちを描いているのに、その人たちが基本を知らない。
まとめサイトではエントリーやコメントが殺到している。医者や警官は慣れっこなのだと思うが、ITエンジニアは久しぶりに取り上げられたのではしゃぎまくってしまっている。
ツッコミを入れてみたいと思うのだが、わたしは基本的に「知らない人が作るな」という姿勢ではない。でも、おかしなお話をやるくらいなら、実際に起こった事件を題材にすることを勧めたい。実際何が起こったか知っている人が証言してくれるだろうし、一般の人にもわかりやすい脚本になるのではと思う。役者は難しい言葉を連発していたが、一方で、専門家が新入社員レベルのことを理解していないことだらけだった。
刑事ドラマでは刑事が鑑識中の現場を荒らしている、というのは有名な話だが、今回は臨床医が院内でウィルスをばらまきながら「患者を救わなければならない」と言っているレベルの言行不一致が5分に1回くらい見られた。
以下、これから見る人にはネタバレなので注意。なお、気づいたことのごくごく一部である。
- 狙われたパスワード
新システムが最新のセキュリティを目指したシステムだと自負するならパスワードが盗まれただけで実際の資金が奪われるようなつくりにしないでほしい。もっとも、某ペイの社長は多要素認証を知らなかったけれど。
- 資金移動
同様に、最新のセキュリティというなら、企画部長のIDだけで資金移動できてしまう権限設計もおかしい。
IT部門のオフィスで、今どき上司がUSBメモリーを配るなんて変。ねずみのマスコットがかわいいなんて言っていないで「年次のセキュリティ研修受けたんですか、こんなものを職場に持ち込むべきではありません」と新入社員でも注意できなければならない。
- 職掌分離
半沢部長が出張中だったとしても、高権限のIDを代理の課長に貸すなんてどうかしている。金融庁から怒られるよ。
- 入退室
受付または夜間受付(警備員室)に立ち寄り、入館を許可した人間を単独で行動させるのは変。雑居ビルであれば同じフロアで複数企業が入居しているので入れる可能性がある。でもそれなら、そもそも受付に立ち寄る必要がなかっただろう。矛盾している。
正規の権限がない者が情報を覗き見することは警戒すべきこと。本来は座席を離れたらすぐに端末がロックされるべき*1ではあるが、何度もロックを解除する作業が発生して効率が悪く、実態としてはきちんとロックをかけていないこともよくある。
ただ、外部から迎え入れた人間がパソコンを操作していたとしたらどうだろうか。覗き見を超えてこれはセキュリティ事故である。パソコン操作している姿を目撃して「あいつは大丈夫か」と相談するシーンがあるが、その場で注意してやめさせることができない自分の方をまずは疑うべきである。
- 犯人
黒木という男は、事前に会社に忍び込んで悪態をつかずに黙って攻撃すればいいのに。サイバー攻撃を仕掛けるなら手ぐせがばれない方がいいだろう。
またドラマにしてほしい。
ただ、雰囲気は研究しているようで、それっぽさは出せていんたのではないかと思う。おっさんばかりで女子社員がわずかであるあたりとか。
*1:利用者が自らのモラルで「ロックするべき」ではなく、機器の管理者が強制的にかけるべき
スマートフォン 引っ越し 2020年1月版
Android携帯が水没した。画面が壊れたようだが、もともと他の部位も調子が悪く、全取り替えすると新品1台分くらいの値段になるので、引っ越し作業を実施。
Google認証システムを使ったワンタイムパスワード認証
アプリ
2要素認証を使う方法
PCのブラウザでログインし、いったん認証アプリのチェックを外し、再度入れる。
PCのブラウザでログインし、いったん認証アプリのチェックを外し、再度入れる。
LINE
SIMを新端末に挿した状態で、電話番号認証を行い、引き継ぎ完了。旧端末では使えなくなる。トーク履歴はGoogleと連携していればサーバーからダウンロード可能。その場合はWifi環境推奨。あとでダウンロードすることもできる。
Kyash
ID、パスワードでログイン後、SMSでコードを受け取るだけ。受信後自動的に反映される。のでSMSのコードについては作業不要。
モバイルTカード
Yahoo! IDでログインしたあと、「モバイルTカードをはじめよう」という画面になる。「もう始めているのにな」と思いつつ、Tカードの番号と生年月日を入力すると登録完了。
Yahoo!関係
ログインするだけ。SMS認証を求められる場合もある。
dポイント
ドコモiDでログイン。2段階認証している場合はコードをSMSで受信。
銀行系パスワードアプリ
多要素認証をモバイルアプリで利用するためのもの。簡単に旧端末を無効化できてしまっては安全性に問題があるが、正規に旧端末を無効化したいときはいろいろと面倒である。
ある大手銀行は新端末で設定後、端末に番号が表示される。銀行からかかってくる電話にその番号をプッシュトーンで入力する。口座乗っ取りに利用されるおそれがあるのはわかるが、手続きが終わるまでに詐欺の手口の話を延々と聞かされるのがつらい。なお、通話料金は銀行が払う。
ある流通系ネット銀行はワンタイムパスワードへの移行を預金者に促しているが、移行前の乱数表が引き続き信頼の基点と位置づけている。この乱数表を用いることでインターネットバンキング単独でのパスワードリセットを実現している。旧端末が使えない場合、ログオン実績のあるPCなどを用いれば引き続きインターネットバンキングへのアクセスはできるが、ワンタイムパスワードアプリの解除を行うにはワンタイムパスワードを入力する必要がある。旧端末が利用できない場合、ネットで全部手続きがすむが、ログインパスワードや取引パスワードを知っていてもこれらの再設定を行う必要がある。パスワード再設定で、ワンタイムパスワード認証は自動的に解除されるため、新端末を用いてワンタイムパスワードアプリへ切り替えれば完了。なお、この銀行のワンタイムパスワードは取引時にメールでワンタイムパスワードを受け取る方法も選べるが、外出時に使うには少し利便性が悪い。
nanaco
【元の端末での操作が必要】モバイルアプリを起動し、引継番号を入手。新端末に入力する。
iD (iD対応クレジットカードの場合)
【元の端末での操作が必要】iDアプリを起動し、情報を預ける操作を行う。登録クレジットカード会社によってはカード情報の受け取りにアクセスコードとパスワードが必要。Google Payに登録されていたものの場合はアクセスコードなしに復元できるものもあった。
ゴーン氏出国
ゴーン氏が隠れて出国したのは違法だとか、無実を主張するなら法廷に堂々と出て主張せよとかおっしゃいますが、どちらも手続き論だと思うんですよね。
司法取引だともいわれていますが、ゴーン氏だけ悪くて日本人は悪くない、というのは筋が悪いと思うんですよね。そこはどうでもよくて手続きだけ粛々とやってほしいという意見は間違っている部分は見当たらないのですが、そこを言うならまず日本人の経営陣も全員逮捕しろと言うべきなのが手続きを重視する方々としては整合性が取れているのではないでしょうか。
有価証券報告書の虚偽記載は、上場会社が市場から制裁され、会社は経営陣に賠償請求すべきものであって、その結果偉い人に刑事罰が科されるのはいいと思うのですが、逮捕が先だとか、偉い人が刑事罰だけ受けて終わりというのは変な感じがします。
