「PASMO」の履歴を他人に見られる仕様を見直しへ、照会サービス一時停止

　主に首都圏の私鉄・地下鉄・バスなどで使える交通系ICカード「PASMO」を運営するPASMO協議会と株式会社パスモは2日、インターネット経由でウェブブラウザー上から同カードの使用履歴を参照できる「マイページ・PASMO履歴照会サービス」について、1日16時10分をもって一時停止したと発表した。同サービスの利用者を認証する際のセキュリティレベルが十分かどうか再検討するためだ。

「マイページ・PASMO履歴照会サービス」のページにアクセスすると、メンテナンス中との表示

　PASMO履歴照会サービスは、記名式のPASMOおよびPASMO定期券の約3カ月前までの残額履歴、定期券の購入情報、バスポイントやバスチケット残高を閲覧できるサービス。PASMOのウェブサイトで会員登録を行い、ログインIDとパスワードを設定することでアクセスできる仕組み。

　会員登録時に入力が求められるのは、17けたの「PASMOカード番号」、カード購入時に登録した「氏名」「生年月日」「電話番号」となっており、これら4項目の情報を知っていれば、カードの持ち主本人でなくとも会員登録をして履歴を閲覧できる仕様だ。

　このサービスの悪用が可能であることは以前より知られていたらしく、配偶者や交際相手の浮気調査に活用できるといった“裏情報”などがインターネット上では散見できる。また、そこまで深い関係でなくとも、知人や会社の同僚などであれば、生年月日や電話番号を知っている場合も多く、あとは、何らかの機会に相手のカード番号を入手できれば、同様のことができてしまう状態だった。

　それが最近になって、著名なセキュリティ研究者が調査に動き出し、結果を自身のブログやTwitterで報告。セキュリティ面の考慮が不十分なことを強く指摘するなどして話題になったことで、サービス運営者側も検討するかたちになった模様だ。

　特に最近では、SNSに公開している情報から上記のようなプロフィールを収集されやすくなってきている。PASMOカードを購入したことを報告するブログ記事を公開し、そこに自身のカードの写真を掲載するといった例も見受けられ、全く会ったこともない他人でも4項目の情報をそろえられてしまう可能性がないわけではない。

　PASMO協議会によると、PASMOが2007年3月にサービスを開始すると同時に、PASMO履歴照会サービスも提供を開始したが、その時点では、これら4項目の情報が「全くの第三者に知れ渡ることは想定していなかった」という。

　一方で、「家族や近親者であれば知りうるものであり、家族や近親者に履歴を閲覧されることは認識していた」。そのため、「マイページ停止センター」という電話窓口を当初から開設しており、ここに申し出ることでPASMO履歴照会サービスの会員登録ができないようにする手段を用意していた。

　それが最近ではTwitterやFacebookなどのSNSが普及し、サービス開始時点から環境が大きく変わってきたことを受け、「従来のセキュリティレベルが現在でも耐えうるものなのか検証することにした」。

PASMO協議会と株式会社パスモは2日昼の時点で、「マイページ・PASMO履歴照会サービス」の停止理由について、「システム環境調査のため」だとする簡単なプレスリリースを出していたが、その後これを取り下げ、経緯などを盛り込んだバージョンを夜になって公開した（この画像は夜バージョンの1ページ目）

　なお、PASMO以外の他の地域で提供されている交通系ICカードでも、インターネットで履歴を照会できるサービスを提供しているところも多い。カード保有者は、使っているサービスの仕様を確認しておいたほうがいいだろう。また、カード番号を他人に知られることのリスクを認識し、自身のカードをしっかり管理する必要がある。