あれから4年、そこにはいまだに生パスワードを平文メールで送る企業の姿が!
就活サイトにアカウントを作ったら自分が登録したパスワードが平文メールで送られてきたよ、という記事をみました。
実はこの記事は、2010年11月8日に書かれた記事で当時も話題になりました。
で、なぜか4年後の2014年10月22日頃からはてなブックマークがつきだしてにわかに話題に。オリンピック的な感じですね。
楠 正憲さんがはてブ&ツイートで「未だに…」という書き方をしたため、それ読んだ方が「今起きている事案」と爆速で誤解をしてしまったことが、盛り上がった一因かもしれません。
未だにこういうサービスがあるのね。こういうシステムに登録するパスワードは、くれぐれも使い回さないようにしないと / “平文メールにパスワードを書いて送ってくる糞企業一覧 ” http://t.co/SocFaJmvWr
— 楠 正憲 (@masanork) 2014, 10月 22
あれから4年……
以上、4年前のお話でした、というだけの内容なんですが、現在でも生パスワードをメールで送ってくる企業はあるのかな?と、ちょっと興味がわいたのでやんわりとTwitterを検索してみました。
その中から仮パスワードではなく、自分が登録したパスワードが送られてきたとわかるケースを一部紹介します。
とある企業が毎回メールの最後にマイページへのログインID/パスワードを平文で送ってくる
— たくみぶー (@Takumiboo) 2014, 1月 16
某会員制サイトで、パスワードを忘れてしまったので再発行を申し込んだら、登録したパスワードがそのままメールで送られて来た。これは色々アカン・・・DBでも暗号化されてないのかも・・・。まぁ個人情報と言っても氏名、住所くらいだから仮に流出してもそんなにダメージは無いんだけど・・・。
— sai (@sai_asleep) 2014, 10月 17
某所に会員登録したら会員登録メールにパスワードを平文で送ってきやがった。ここでしか使ってないパスワードにして正解だったわ。
— あかみ (@akami_orihime) 2014, 3月 6
メールアドレスとバスワードでログインできる某国内系ホテルズのパスワードリマインダ実行したら、メールに平文でパスワードが送られてきた件。予約ぐらいしか出来ないからここでは実害出ないかもだけど、他で使い回してたらちょっと微妙…
— A氏 (@aoki0) 2014, 5月 26
病院の予約システム、パスワードが強制的に誕生日になって変更できず、メールに平文で送られてくるのでロックだなぁと思った。
— しまざきしょうこ♀しょっぴー (@shokos) 2014, 5月 20
いずれも2014年のツイートですので、未だにそういった企業が残っていることがわかります。
ちなみに、企業名が明記してあるツイートもたくさんありましたが、事実かどうか全部検証するわけにもいかないのでここに記載するのはやめておきました……が、一応、2つだけ検証してみました。
イオン北海道ネットスーパーサイトの場合
イオン北海道でパスワード再発行したら平文で保存したパスワードが送られてきた。うふふ(´∀`*) pic.twitter.com/rXR0ZEqNnh
— よるくま (@yorukumaa) 2014, 6月 9
本当でしょうか?登録して試してみました。
イオン北海道のネットスーパー ネットで楽宅便(らくたくびん)
「パスワード」を記載したメールを送信します、という丁寧な説明。
実際にリマインダーしてみると……
不意に、自分が登録したパスワードが平文メールで送られてきた時の衝撃はどれくらいなんでしょう。
たしかに、説明通り生パスワードが送られてきました。
GAPメンバーシップサイトの場合
GAP で割引受けるために登録したら、設定したパスワードが平文でメールされてきてドンビキしたけど、そういうこともあろうかと「クソどうでも良いサイトでしか登録しないパスワード」を設定していてよかった(abcd1111的なやつ)。あと誕生月とか諸々含めて45%引きされたからよかったw
— Sotaro KARASAWA© (@sotarok) 2014, 9月 28
こちらは会員登録後に生パスワードをメールで送ってくれるサービスだそうです。さっそく登録してみます。
登録が完了すると「なお、パスワードはログインIDとは別のメールにてお送りします。」という説明。どういうことでしょう?
あ、添付ファイルを暗号化して別メールでパスワード送る「パスワードは別のメールでお送りします」的なやつだ!
パスワードはとういうと、
しっかりとそのまま送られてきていました。
なぜなくならない?
予算などの都合で、4年前からシステムを代えられないという理由も大いにありそうですが、イオン北海道のネットスーパーが解説したのは2013年です。あえて生パスワードをメールで送る仕様にしているのかもしれません。
なぜなのか?その理由の一つとして、元記事が話題になった2010年に寄せられていたコメントを紹介します。
コメント#1856267 | 生パスワードを平文メールで送ってくる企業 | スラッシュドット・ジャパン
送信するのはクレーム避けだからです
・正確に入力したのにパスワードが通らない、おまえの所のシステムはおかしい
パスワード決定時とCapsLockやNumLockの状態が違うなんてことが
・「パスワードを再発行しろ」、ハッシュ管理のため再発行できません、
そんな馬鹿な話があるか、パスワードを確認できるんだから再発行できるだろう
クリティカルな物でも無い限りパスワードを平文保存なり送信なりしたくなる気持ちも分からなくも無い
いずれにせよ、こういった仕様がなくらないのであれば、漏れたら困るような主要なパスワードを使いまわさないように(そもそも使い回しはNGですが……)しないといけませんね。
そもそもこういった仕様がなんでいけないの?については徳丸先生の記事などをご覧になるとわかりやすいと思います。
まとめ
4年後に期待しましょう。