情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

iPhone新規契約@ソフトバンクで情報セキュリティ的に気になった点メモ(設定したばかりのパスワードが店員の手元にあるiPhoneに平文で送られてくる)

SoftBank (109) iPhone (1733) iPhone 6 Plus (23)

ヨドバシカメラのSoftBankコーナーで、iPhone 6 Plusを新規契約してきました。気になるところがあったので、書いておきます。

設定したばかりのパスワードが店員の手元にあるiPhoneに平文で送られてくる

店員(名札にはたしか「ソフトバンクモバイル」)は、登録作業にiPadを使用しています。

手続き途中に、そのiPadを渡されて、MySoftbank*の新しいパスワードを設定するように言われました(*契約確認や契約変更などをWEB上でを行うためのサイト)

仕方ないので、その場でパスワードを考え、誰にも見られないようにiPadに入力しました。当然入力した文字は伏せ字になります。

しかし、帰宅途中に気づいたのですが、入力したパスワードがそのまま記載されたSMSが、新しいiPhone端末に届いていました。丸見えです。

iphone-6-plus-plain-text-password

<ソフトバンクより>

My SoftBankのパスワードを変更しました。

■新しいパスワード:
(パスワードが全文字そのまま表示されている)

My SoftBankはこちら
https://my.softbank.jp

【総合案内】
ソフトバンク携帯電話から
Tel:157(無料)
一般電話から
Tel:0800-919-0157(無料)

・このメールへの返信は受付できません

この時点で、ソフトバンクモバイルの店員が、iPhoneを操作できる状態(購入前)なので、簡単に設定したパスワードを盗み見られてしまいます

※メッセージアプリで個別のメッセージの受信時刻を表示するには、画面を左にスワイプします

これでは、見られないように入力したのが無駄な努力です。仮に店員を真に信用すれば、まわりに他の客が居ない限り、隠す必要は全くありません。でも隠します。それは、簡単にパスワードを盗み見られたくないからです。

これは、情報管理的にどうかな、と思いました。

パスワードの平文なんてものは、極力本人にしか見えないように扱うべきですし、情報漏洩やそういう問題を予防するには、他の情報も含め、必要最低限の範囲にしか見えないように管理すべきです。これでは、簡単に店員が盗み見ることができてしまいます。つまるところ、ソフトバンクは、ユーザーのパスワードを、店員が簡単に見ることができる状況を許していることになります。入力スペースは伏せ字で安心してたのに。

パスワードをSMSでユーザーに送っておけば、もしパスワードを忘れても、すぐ本人が確認できるので、サポートのコストが安く済む、とかそういうメリットは思い浮かびますが、さすがにそんなメリットを優先して、パスワードをこんな扱いにすることはやめてほしいなぁ、というのが自分の印象です。

とりあえずどういう意識なのかはわかりませんが、docomoやauがどうなのかはわからないものの、とりあえずソフトバンクはこういうスタイルのようです。

もちろん、契約完了後、店員の手を離れてから届くのなら、また状況の"程度"は変わってきます。

しかし、手続き中に送ってしまっては、店員はすでに手元にロックのかかっていないiPhone端末があるわけで、あとはメッセージアプリを開くだけで、パスワードを閲覧できてしまいますし、仮に既読にしてしまったとしても、お客さんは気が付かなかったり、不審に思われても操作ミスと言われたら納得してしまうかもしれません。

というわけで、この状況を厳密に嫌がるのであれば、ソフトバンクショップで入力したパスワードは、すぐに変更しておくことをおすすめします。もちろん、嫌でない人も多くいると思いますが、自分は気になりました。

勝手に利用規約に同意してどんどん進む

開通しているかを確認するために、店員は、ようこそ画面から、ホーム画面まで続く数々の初期設定を勝手に設定していきました

その中には、当然利用規約もあり、利用規約の同意ボタンも店員が押してしまって先に進み、それを私は受け取りました。規約に同意した覚えもありませんし、利用規約など提示されてすらいません。

もうちょっと何とかならないのかなぁ、と思ってしまいます。速くお客をさばくことを優先していて、そうしないと何時間もかかるのであれば、仕方ないことですが、なんかひっかかります。せめて、何か説明して欲しかったです。

チェックリストのコピーを貰えばよかった

これは、単なる自分の反省点ですが、チェックリストのコピーを貰っておけばよかったな、と思いました。

チェックリストというのは、「途中で契約変更したら月々の割引がなくなるよ、いいよね?」みたいな、同意を確認する内容たち一覧です。

うっかりしてました。ちなみに、契約終了後、手元には紙一つ渡されず、手がかりはありません。

コメント(4)

  1. のそほん
    2014年9月20日(土) 11:59

    すごく同意します。

    パスワードを平文で送って来れるということはサーバー側に平文化できるような情報が残っていると疑ってしまいますね。
    通常はハッシュ化してサーバーの管理者でもわからないように保管するものです。

    私は買ったものを全て保管しておきたい拘りがあるので、携帯ショップの店員が勝手に開けて小袋を捨てたり保護シートを剥がしたりするのが許せません。
    初期設定も勝手にやらないでほしいです。
    店員はSIMカードだけ渡してくれればいいのです。

    このあたりは日本のITリテラシーの低さが出ているのだと思います。

  2. べーじゅ
    2014年9月21日(日) 19:21

    最近Docomoに移ったがこういうのは無かったな。
    PCの話だけど、某専門店()で買ったら当然のように一度開封されてユーザも作ってあるし、フリーのアンチウィルス・ChromeとかAdobe関連のもインストール済みってなってて絶句したな。
    まあ、そのPCは年取った母親が使ってて、久しぶりに帰ってみたらIEがツールバーだらけ・hao123・Jwordその他諸々入ってる状態だったししょうがない部分面も多分にあるなーとは思った。
    だからせめて同意取ってからやってよ・・・

  3. やまやま
    2014年9月21日(日) 22:46

    全部自分でやるからいい!と客から言ってもらえれば、店員は喜んで何も初期設定しませんよ。それを省いて接客を早くさばきたいからね。でも、せっかく新品買って動かんがな!ってクレームで再来店してくる客が怖いから、やってるだけだと思われます。マニュアル渡されてもできない客も多く、その水準で全客を扱われるのも問題だけど。

  4. ほーい
    2014年12月7日(日) 01:51

    きょうドコモショップで機種変更したら
    メール移行とかでdocomoidとパスワード見てやろうとしてたので待ったをかけた
    聞いたらみなさんやるのでという
    パスワードを普通に見てやってるわけだ
    かわいい女の子のだったらあとから見るやつぜったいいるだろ
    ちなみにdocomoIDのパスワードやネットワーク暗証番号も平文で記録されてる
    いまどき信じられない古い管理方法

新しいコメントを投稿