『VISA 認証サービス』が、なぞのドメイン(dnp-cdms.jp) なのが気になって、をカード発行会社に問い合わせてみた。

経緯

ネットショッピングをしていて、決済にクレジットカード支払いを選択して、クレジットカード情報を一通り入力し、実行すると、

『先に「本人認証サービス」をクレジットカード発行元で申し込め！』

と案内された。

ネットショッピングでクレジットカードを使用するときに、認証が必要となるのは歓迎するところだ。

早速、下記サイトの「Net アンサー」にログインして登録を開始する。

http://www.saisoncard.co.jp/

パスワードは、「Net アンサー」のパスワード同じらしい。
http://www.saisoncard.co.jp/services/sj086.html

「PAM」と呼ばれる、自分宛てのフレーズを入力して登録を完了させた。
http://www.saisoncard.co.jp/vbv/qanda.html#b3

ネットショッピングサイトに戻って、継続すると、
「dnp-cdms.jp」という、ドメインに転送されたあと、

『カード発行元のシステムのパスワードを入力せよ！』だそうだ。

何だ、この怪しいドメインは？

しかも、何でこんなわけのわからないドメインのウェブページに、クレジットカード発行元のサービスのパスワードを入力しなければならないのか？

パーソナルメッセージに、本人認証サービスの登録で入力した「PAM」が表示されているのも、気持ちがわるい。

「新手のフィッシングか？」とも思ったが、カード発行元の「本人認証サービス」の説明ページに何か掲載されているかもしれないとおもい、説明ページの内容を確認してみたが、「dnp-cdms.jp」などという記述は、一切ない。

• http://www.saisoncard.co.jp/services/sj086.html
• http://www.saisoncard.co.jp/vbv/qanda.html

どういうセキュリティーの裏づけをもって、「dnp-cdms.jp」というわけのわからないドメインのページを信頼せよというのか？

これは、カード発行元に聞く他にすべはない。

電話でのやり取り

カード発行元のサポートセンターに電話して、経緯を一通り説明したあと、

『「Net アンサー」のパスワードを入力してもセキュリティー上問題ない』

と判断できるのは、

『パスワードの入力ページが「Net アンサー」サービスと同じドメインに存在するか』

または、

『「Net アンサー」の「本人認証サービス」登録ページで、「本人認証サービス」は「dnp-cdms.jp」で提供していることを説明しているか』

のどちらかでしかない。

と伝えたところ、

『「dnp-cdms.jp」ドメインについては、何も情報がないのでこの場では答えられない。
このドメインについて、調査してから改めて答える。
また、そのページが信用できないなら、パスワードは入力しないことをすすめる。』

との回答だった。

サポートの担当者すら調査しなければわからないドメインのウェブページを、一般ユーザに信頼しろとでも言うつもりだったのだろうか？

次の日になって、

カード発行元のサポートセンターから自宅電話に着信があり、メッセージが残されていた。

『本人認証サービスは、大日本印刷株式会社に業務委託しており、「dnp-cdms.jp」は、業務委託先のドメインである。』

と説明している。

補足

さて、

セキュリティーに多少敏感な本稿の著者だから、ここまで突っ込んで調べたが、これを一般消費者に求めるのはいかがなものかとおもう。

あとで調べてわかったことだが、この「本人認証サービス」は、「3-D Secure」という技術だ。

http://en.wikipedia.org/wiki/3-D_Secure

ACS providers

In 3-D Secure protocol, ACS (Access Control Server) is on the issuer side (banks). Currently, most banks outsource ACS to a third party. Commonly, the buyer's web browser shows the domain name of the ACS provider, rather than banks' domain name, however this is not required by the protocol. Dependent on the ACS provider, it is possible to specify a bank owned domain name for use by the ACS.

それぞれに求められること

上記の説明に

「プロトコル上は、ACE Provider(本人認証サービス)のドメインは、banks(クレジットカード発行元)のドメインである必要はない。」

と書かれているが、

このことが、即ち、「dnp-cdms.jp」を信頼してよいことと、混同してはならない。

技術的に可能なだけで、当然、

『クレジットカード発行元には、信頼してよい ACE Provider が何処であるかを説明する責任がある。』

また、

『クレジットカード利用者は、クレジットカード発行元によって指定された、信頼してよい ACE Provider のドメイン以外で、個人認証サービスのパスワードを入力してはならない。』

追記

dnp-cdms.jp を google で検索したら、下記ページが結果に含まれていた。

本稿の著者と同じように「本人認証サービス」の問題点を指摘してる。

「tr7743のクレカネタ » IC Card Worldに行ってきた(3)」

http://www4.atword.jp/tr7743/archives/3411

そもそも3Dセキュアと言うのが謎のドメインにパスワードを入れなきゃいけないというのはちゃんと説明してほしいと思うんですけどね………

たとえば………普通の人は「dnp-cdms.jp」が安全かどうかなんて判断できませんよ。

「なぜ、Tカードは提示するだけで割引が受けられるのか」のブックマークコメントが気になったので確認してみた。

「あれ？ Tポイントって、それが可能だけど、実際にはやっていないんじゃなかったっけ？ 後で確認して、ガセだったら吊るそう。」
http://b.hatena.ne.jp/HiromitsuTakagi/20110620#bookmark-46889350

以下は会員規約で関係ありそうなところ。

http://www.ccc.co.jp/member/agreement/

T会員規約

第4条　（個人情報について）

1. 個人情報のお取扱い
……、本条第3項記載の各利用目的のために利用させていただきます。また、本条第4項記載の共同利用者と本条第3項記載の各利用目的のために本条第2項記載の個人情報項目を共同して利用させていただきます。
なお、……

2. 当社が取得する会員の個人情報の項目
（2）ポイントプログラム参加企業における利用の履歴

4. 共同利用者の範囲及び管理責任者

• 当社の連結対象会社及び持分法適用会社
• ポイントプログラム参加企業（TSUTAYA加盟店を含みます）

8. 会員が自己の個人情報について、個人情報保護法またはその関連法令に基づく利用項目の通知、開示、訂正、追加、削除、利用の停止、消去、または第三者への情報提供の停止（以下「開示等の求め」といいます）を求める場合には、当社所定の届出書にてご請求ください。届出書につきましては、http://www.ccc.co.jpにアクセスいただくか、Tカードサポートセンターまでお問い合わせください。
　　ご請求の内容について確認の上、適切な処理を遅滞なく実施し、原則として書面（封書）で回答させていただきます。なお、所定の手数料をご負担いただく場合があります。

事前に質問を用意して、Tカードサポートセンターへ電話してみた(電話番号はT会員規約ページに記載されている)。

質問 Q1)〜Q6)

1. 第4条、第2項 (2) とは、具体的に何でしょう？
2. この情報は、「ポイントプログラム参加企業」と共同利用されるか？
3. 例えば、ファミリーマートが、ツタヤで借りた映画情報を取得できるか？
4. この情報は、第4条、第8項の規約に基づいて、利用の停止を請求することはできるか？
5. この請求は、第4条、第8項の規約に基づいて、適切な処理が遅滞なく実施されるか？
6. この適切な処理とは、Q2) の利用を停止させることか？

以下は、その結果(わかりやすいようにちょっと編集してある)。

Q1) 第4条、第2項 (2) とは、具体的に何でしょう？

「お客様がTポイントプログラム加盟店で、お貯めになったポイントの履歴です。」

追加質問) それは、購入した商品名も含まれるのか？

「いえ、含まれません。」
「カルチュア・コンビニエンス・クラブ株式会社(以下 CCC)で取得する情報は、」

• 「誰が」
• 「いつ」
• 「どのポイントプログラム加盟企業で」
• 「何ポイント」
• 「使ったか、あるいは貯めたか」

「です。」

Q2) この情報は、「ポイントプログラム参加企業」と共同利用されるか？

「いえ、利用されません。」

Q3) 例えば、ファミリーマートが、ツタヤで借りた映画情報を取得できるか？

「いえ、できません。」
「そもそも、CCC で取得する情報に、商品名や映画タイトルは含まれません。」

ということで用意した Q4 以降の質問は要らなくなった。

結論

可能だがやらない。

Thunderbird - 送信者名を切り替えてメールを送信する

社内のメールでは、気にすることはないけれど、社外にメールを送るときには、差出人欄に表示される自分の名前に会社名と部署名を付け加えたいと思うかもしれない。

Mozilla Thunderbird では、差出人情報の管理機能を使えば、相手に表示させたい自分の名前を選んで、メールを作成したり、返信したりできるようになる。

差出人情報の追加方法は、下記ページの「差出人情報を追加する」項目の手順を参照。
(mozilla.jp) Thunderbird サポート - 使い方ガイド - メールアカウントの設定

• • • • • • • • -

「SmaSTATION！！」 2011年5月7日（土）の放送の「マナスマチェック！あなたのマナーは大丈夫？」コーナーの中で、次のようなメールに関するマナーの QA が紹介されたけれど、これはマナーとなってほしくないので……

7位はメールのタイトルにあたる件名を返信する際にどうするかについて。正解は変更する。一部変更して社名と氏名を追加するのがベスト。

(kakaku.com) 価格.com - 「SmaSTATION！！」2011年5月7日（土）放送内容 | テレビ紹介情報