35歳からの中二病エンジニア

社寺・鉄道・アニメを愛でるウェブ技術者の呟き

KINEZOは映画館の係員でもパスワードを覗ける

KINEZOといえば、映画のチケット予約サービスだけれども、セキュリティー界隈では「数字4桁のログインパスワード」でお馴染みの有名所でもある。平成も終わりに差し掛かっているのにこれを貫いていることについては何と申せば良いのやら…。そんなKINEZOだが、今回は新宿バルト9で更なる深淵を覗いてしまったので、ここに書き記しておく。

暗証番号代わりのログインパスワード

昨日映画を観に行った所、生憎スマートフォンの調子が悪くてネットに繋がらなかったので、チケット発行用の予約番号は確認できたが、QRコードの確認ができなかった。そこで、予約番号からチケットを発券しようとした。

すると、求められたのはKINEZOのログインパスワード。

おいおい、ログインパスワードが暗証番号代わりかよ…。

と、その時点でセキュリティー的にアウトだろうとは思いつつも、仕方ないので入力する。が、どうにも通らない。暗証番号代わりに使われるなんて全く想定していなかったので、普段の暗証番号とは別の番号を登録したらしい。

まぁ、落ち着いて考えたらパスワードマネージャーには登録されていたので、それを確認すれば良かったのだけれども、エラーが出まくったのに焦ってしまい、とりあえず受付の係員に人力で発券してもらうことにした。

人力発見の方法がまさかの…

受付の係員に事情を話して予約番号を伝えた所、慣れた様子で画面を操作し始めたので、まぁその場でサクッと発見されるだろうと安堵した。

ところがである。その後渡されたのは4桁の番号を書き記した紙片。

そして、横の発券機で予約番号とその番号を入力してくれと言うのである。

僕はその場では焦っていたので、余り深く考えずに言われた手順でチケットを発券し、頭を空っぽにして「翔んで埼玉」を観てきたのだが、帰宅して財布からポロッと落ちたその紙片を拾って血の気が引いた。

え…受付の係員がウェブサービスのログインパスワードを覗けるってこと…???

そして、恐る恐る僕の登録していたパスワードをパスワードマネージャーから確認すると、その紙片の数字と見事に一致していた…ホラーである…。

KINEZOユーザーは今すぐパスワードを見直そう

言うまでもなく、この状況からKINEZOのパスワードが平文もしくは可逆暗号で管理されていることは明らかだ。しかも、そのパスワードはあろうことか、現場の係員でも容易に覗けるようになっているのだ。これは大変なことだと思うのだが、僕が動転していておかしくなっているだけなのだろうか…。

唯一の救いは、僕がパスワードマネージャーを使うタイプの人間で、4桁の数字のパスワードを「パスワード」と認識して登録していたため、「暗証番号」として登録している他のサービスとは似ても似つかぬメチャクチャな番号になっていたことだった。ただ、ユーザーの中には他のサービスの暗証番号と関連性のあるような数字を登録している人もいるのではないだろうか。あるいは、銀行口座の暗証番号と被ってでもいたら、一大事だと思うのだが…。

何にせよ、KINEZOの登録ユーザーは今すぐパスワードを確認し、多少なりとも安全な(とはいっても所詮4桁の数字だが…)ものにしておくべきだろう。あと、もしもKINEZOと同じ暗証番号を他のサービスでも使っていた場合は、そちらも変更しておいた方が安全だ。

おわりに

本当はKINEZOの運営元にこの件を確認しようと思っていたのだが、なんとメールの問い合わせは受け付けておらず、電話の受付時間も終わっていた。

そもそも、今まで4桁数字のパスワードも改善されてこなかったわけで、僕のような一介のユーザーが問い合わせた所で暖簾に腕押しのような気もする。それよりはユーザー側に自衛を促した方が合理的かもしれない。そんなわけで、一連の経緯を覚えている内に書き記しておくことにした。

現場からは以上です。

gifmagazine.net

経過報告1

翌日朝一でKINEZOの問い合わせ先に電話してみた。ただ、繋がったのは劇場(バルト9)の方で、セキュリティーに関して把握している方は居なかった。ただ、KINEZOのパスワードを入力できない場合に劇場側で調べて渡すという、正に僕のようなパターンの運用を行っているのは事実で間違いないとのことだった。それについて、セキュリティー上の問題を認識したのならば、今すぐにでも運用を見直すべきではないかと尋ねたが、劇場の一存では運用を変更することはできないというのが現状の公式見解であるとのことだった。

そこで、ウェブサービスを取り扱う部署への案内を希望した所、KINEZOはティ・ジョイという会社が開発しているということで、そちらの担当部署を案内していただいた。今は担当者不在ということで、折り返しの電話待ちである。ひとまず、劇場には注意喚起のための報告を入れたから最低限の義理は果たしたぞ…。

経過報告2

その後暫くして、ティ・ジョイの担当者から電話が掛かってきた。要点は以下の通りだ。

  • 数字4桁のパスワード兼暗証番号については、数多くの問い合わせを受けている。
  • ウェブサービス用には英数記号のパスワードを、発券用には別の認証方法を採用する方向での改修を検討中である。
  • システム改修のリリースがいつになるかは答えられない。
  • 現状は運用を見直すことは検討していない。

こちらからは、最低でも利用者に対し、注意喚起や係員によるパスワード伝達への同意を求める等の対策を行うべきではと申し伝えた(その運用もアウトだけど本当に最低限ということで)。ネットへの拡散については、せめて改修の目処が立っているのならば取り下げようかとも思ったけれども、現状は「検討中」とのことなので、是非も無し。

最後にユーザー側でできることとしては、銀行口座やクレジットカード等、他サービスの暗証番号とは絶対に分けることをまずは徹底しておこう。あとは、チケットを予約したらすぐに発券用QRコードを取得しておくと良い。これは、できるだけ予約番号とパスワードによるチケット発券を避けるためだ。

なんとも対症療法的ではあるが、自分の情報は自分で守っていこう。