誕生日をつぶやくのも「漏洩」に!? 楽天カードの暗証番号照会サービスにセキュリティ専門家警告

便利なサービスではあるものの、「諸刃の剣」「財布落としたら終わり」といった声も。

[ITmedia]

　楽天カードが新しくスタートした「暗証番号照会サービス」に批判が集中している。会員用オンラインサイト「楽天e-NAVI」にアクセスし、カード裏面のセキュリティーコードを入力すると、クレジットカードの暗証番号を確認できるというもの。本来は暗証番号を忘れてしまった人のためのサービスだが、悪用されるとカードの所持者以外でも暗証番号を知り得る諸刃の剣にもなってしまう。NAVERまとめやTogetterでは、サービスを批判するまとめが作成され、大きな注目を集めている。

サービス開始を告知するメール

暗証番号の照会画面

　11月10日に、利用者宛にサービス開始の通知メールが届くと「そんな機能は必要なのか」「危険ではないのか」と不安視する声が続出している。暗証番号を照会するのに必要なのは、「楽天e-NAVIへのログイン」と「CVV2（カード裏面のセキュリティーコード）」の2つ。もしも「楽天e-NAVIにログインした状態のスマートフォン」と「カード」を同時に紛失した場合、第三者でも容易に暗証番号を入手できてしまう。楽天e-NAVIは最終操作から25分で自動ログアウトする機能があるとはいえ、ブラウザにユーザーID・パスワードが記録されている可能性もある。

　そして、楽天e-NAVIに未登録の場合、事態はより深刻になる。新規登録によってログインすることが可能になるからだ。新規登録には生年月日と電話番号が必要となるが、この2つを入手するのは比較的容易。にもかかわらず、楽天カードの会員規約では「生年月日、電話番号等個人情報の会員の責めに帰すべき事由による漏洩によりカードが不正使用された場合」、支払免除の対象にはならないとしている。セキュリティ専門家の高木浩光氏は「自分の誕生日や電話番号を人に伝えることをカード会社から責められなくてはならないのか？」「ヤバい。財布落としたら終わり」と警告を発した。

　また、新サービスでは「家族カード」の会員が、自身の家族カードの暗証番号を照会できるようにもなっている。利便性を追求した仕様変更ではあるが、トラブルを誘発する危険性もある。楽天広報部に本件について問い合わせたところ、担当者不在により回答を得られなかった。

追記

　その後楽天広報部よりメールにて回答をいただくことができた。それによると、万が一カードの紛失盗難にあい、第三者が「楽天e-NAVIで暗証番号照会サービス」で暗証番号を不正取得し、カードを不正に利用した場合でも、速やかに紛失、盗難の事実を楽天および最寄りの警察署に届け、所定の届出書を提出すれば支払いは免除されるとのこと。