2018年から金融商品の売買を行うサービスを利用する際に、個人番号(マイナンバー)の提出が義務付けられました。
提出そのものはやぶさかではありませんが、私の利用している証券会社の集め方が酷い。
- 提出方法が(何故か)二通りある
- 送信先が「このメールへ返信」
- メールアドレスが一定でない
- 暗号化について言及なし
1.提出方法が(何故か)二通りある
この証券会社はWebベースの取引ツールがあるため、登録情報の変更に際し(セキュアな接続が担保された)ログイン後の取引ツール内から行えます。
2018年以降に新規口座開設するユーザに対しては、取引ツールに初ログイン後、強制表示されるアップロードフォームからファイル(個人番号カードの写真画像等)を送信することができます。(というかアップロードするまで取引開始できない様です)
しかし2018年以前に口座開設している既存ユーザには、メールでの提出を求めており、何故かアップロードフォームが使えません。(「初回ログイン時」以外のトリガーが無いらしく、メニュー等からアップロードフォームを呼び出す画面遷移経路が存在しない)
この時点で証券会社を語る詐欺の可能性を考慮し、取引ツール内の問い合わせフォームから確認したところ、実際に証券会社がそのような対応を行っている事が確認できました。
2018年から、一部重要な登録情報の変更に際しても、確認書類として個人番号の添付を要求していますが、その際の手段もメールであり、アップロードフォームは使えません。
そもそもこの証券会社は、2018年中に個人番号提出とは関係なく、Web U/Iの全面刷新を行っているのですが、なぜその時についでに実装しなかったのでしょうか。
ユーザの属性や手続きによって、方法を分ける必要性が理解できません。
2.送信先が「このメールへ返信」
Web上の取引ツールでは、約款が変更された際に、同意するまで利用できなくするための、同意ボタン付き通知機能があります。
しかし、なぜか個人番号の提出を求める通知はメールできました。
しかも、提出方法が「このメールに返信して(添付して)下さい」というものでした。
一斉通知メールの場合「このメールに直接返信しないで下さい」ならまだ理解できますが、これでは、完全に詐欺犯が送ってきそうなメールです。
3.メールアドレスが一定でない
まさかの直接返信が求められているため、取り敢えずメールアドレスの確認が必要になります。
しかし、個人番号の提出を求めるメールのアドレスは過去に一度も使われた形跡がありません。
仮に今まで送られてきた、お知らぜ・通知メールがすべて
"support@example.com"
だったとしたら、個人番号の提出要求メールだけ
"myid@example.com"
といった感じです。
更に、公式サイトでは「マイナンバー提出のお願い」がFQAやニュースリリースなど、複数の箇所に掲載されていますが、掲載箇所によって送信先メールアドレスが異なります。
前述の"support@〜"だったり、"myid@〜"だったり、さらにそれ以外の3番目のアドレスが存在したりと一定しておらず、もはやどの様に確認したら本物と確証が取れるのか判然としません。
一応、送信元のドメイン等確認し(前述のサポートの確認も含めると)本物の様ですが、そもそも詐欺メールに騙される人たちがこのような違いを確認するでしょうか。
もし、"@example.com"と"@examples.com"の様な些細な違いを利用した悪質なメールだった場合、確認しても見落とすかもしれません。
ただでさえ注意が必要なアドレスの確認作業に、正規の証券会社が率先してトラップを仕掛けてきている状態です。
4.暗号化について言及なし
最近では一般企業でも業務上のファイルをメールに添付せざるを得ない場合、暗号化が必須とされ、コンプライアンス用の社員教育等で念を押されると思います。
まして、個人番号という特に機密性の高い個人情報を、金融商品という特に慎重を要する商品を扱う証券会社が集める際に、暗号化について言及していないというのは目を疑いました。
公式サイト上でもメール上でも、「メールにて送信して下さい」の周囲に、暗号化についての言及が一切ありません。
普段、会社勤めをしていない層や、業務のIT化が進む前に引退した高齢顧客層などは、恐らくメール送信前に「暗号化したほうがいいかな」という発想自体が出てこないと思われます。
つい最近、某Webサービスが平文(暗号化していない状態)で保存していたパスワードを漏洩して問題になりましたが、募集段階でこの様なずさんな対応をしている証券会社が、サポート窓口のメールをどの様に保管しているのかは、考えただけで恐ろしいです。
サーバに侵入される、といった高度な方法はもとより、サポート担当の各従業員端末が、不適切な方法で紛失・盗難または廃棄などされた場合に、個人番号の添付されたメールが、非常に危険な状態に置かれる事態は想像に難くありません。
最近では、OSの標準機能でパスワード付きZIPを作るのも容易になりましたが、とは言え、ユーザのリテラシに依存する方法よりも明快で確実な、「アップロードフォームを使わせる」という解決方法を採用しないのが不可解です。
終わりに、
この様な危なっかしい方法を取っている事自体が、ユーザを危険に晒していることはもとより、「正規の証券会社がそんな方法を採用している」という事実は、もはや詐欺を助長しているといっても過言ではありません。
「ちゃんとした会社ならこんな事はしない」という確信があればこそ、詐欺に対する警戒心も正常に働きます。
金融庁だかは、収集を指示する際に、具体的な収集方のチェックやレビューは行わないのでしょうか。
また、セキュリティの不祥事が発覚した際の決まり文句として「被害は確認されていない」というものがありますが、されるわけがありません。
だいぶ前にも、この証券会社に問い合わせをしたことがあり、その際に、ずばりこの回答がシステム担当者(と思しき方)から来ました。(※)
そもそも、サービス提供側のシステム担当者(と思しき方)ですら把握・理解できていない脆弱性に、IT関連職種でもない一般ユーザが気づくはずがありません。
仮に被害が出ていたとしても、当該脆弱性と関連付けて調査されなければ、被害報告が届くはずがありません。
そして被害報告でなはくとも、注意喚起の第一(かもしれない)報を、今まさに行っている私に対してその様な回答が来るということは、その問い合わせがナレッジとして蓄積されることもなく、同様の問い合わせを行った他のユーザが居たとしても、「類似の報告は上がっていない」で済まされそうな予感がします。
※:まだWebサービスの常時HTTPS化が普及する以前、ログインフォームは送信時だけでなく、表示される時点でHTTPS接続でないと意味がない、と訴えたところ、サポート窓口はもとより、途中交代した、システム担当者と思しき方にも理解されませんでした。
これに関しては、私の問い合わせとは無関係に、数年後に時代の流れに沿う形で修正されましたが。