KINEZO のパスワードが半角数字4桁の件に関して


KINEZO』というサイトがあって、特定の映画館で何かしらを鑑賞するにあたり、ネット経由で座席予約ができるという便利なサービスがあったりします。決済方法は現金でもクレカでもたいていの方式が選べるわけで、予約情報を QR コードで所持できるというトコロはとても便利(映画館での発券装置に QR コードをかざすだけでチケットが手に入るのは本当に便利)。

昨年末には ONE PIECE FILM Z を KINEZO で予約してから観に行ったのだけど1 、本当にチケット取得が楽なので気に入っている次第。

ところが、なのだけども。この KINEZO のサイト、セキュリティ的にどうかと問われると、あまりヨロシクはない仕様でちょっと考えてしまう。サイトにて会員になるにあたり、必要事項として登録する内容は以下。

  • メールアドレス(ログインに必須)
  • ニックネーム
  • 性別
  • 生年月日
  • 郵便番号
  • ログイン用パスワード

ここで問題になるのが『ログイン用パスワード』なのだけど、なんと半角数字4桁が指定されるのであった。Web サービスにおいて半角数字4桁というパスワードしか設定できないとはどういうことか。しかも、パスワードを忘れた時に確認を行うと、平文でそのパスワードが記述されたメールが届くということで「なんじゃそれわ」という感じの仕様。

Gmail のエイリアスアドレスを利用するであるとか、独自ドメインを取得していて“KINEZO 専用の外部には公開していないメールアドレス”を使っているならともかく、いつも利用しているメールアドレスで登録している場合、数字4桁だけのパスワードというのは問題にならないのかと思ったりする。これ、ハックしようと思えば簡単にできるよね。

KINEZO のアカウント情報が漏れた場合、どういう情報が取得されるかというと、登録時に設定した情報の他に『映画鑑賞履歴』が漏れることになります。私の場合、以前までのアカウント情報はたまたま削除していたので、今回の情報としてはこれだけ。

KINEZO での映画鑑賞履歴

映画鑑賞するにあたりのチケット予約に関し、可能性のある金銭を伴う被害としては“予約を勝手にキャンセルされる”ことか。ただ、もしかすると『映画鑑賞履歴』に関してバレることのほうが被害としては大きいのかも知れない。個人情報と云うのは決して実名や住所だけではなくて、趣味嗜好というのも立派な個人情報だと考えるのだけど、どうにも世間での認識が甘い気がしている2

自身から趣味嗜好に関して晒すのであればそれは個人の責任の範疇なのだけど、簡易なパスワード管理でハックされやすい仕組みでサイトを運営するということに関してはどうなのか。数字4桁のパスワードというのがどれだけ脆弱か理解していないサービスというのは困る。なぜにこの部分を脆弱にするのか理解に苦しむ。

顧客の信頼第一な企業形態であれば尚のこと、この手の仕様はもっと考えて実装して欲しい。パスワードの仕様なぞ、たいした手間ではなかろうに。雑な仕様は信用を失うきっかけになるので、真剣にサイト運営も考えるべき。

残念な仕様のサイトを観ると、利用するのにも躊躇してしまう。基本的にありがたいサービスを行っている企業なので、尚更残念になる。ネットにおける「信用される企業の在り方」に関して、諸々の企業はもっと真剣に考えるべきだ。適当にやっていると、本当にそっぽを向かれることになるよ。

こういう部分をしっかり構築すれば KINEZO は『映画 SNS』というサービスもできるような気がするのだが、そういうことを考える人はいないのか。もしかすると考えているかもしれないのだけど、仕様がアレなのでなんとももったいない話だと思いましたよ。

  1. ONE PIECE 巻千をもらいに新宿まで(微妙なネタバレ) | 脳無しの呟き《土鍋と麦酒と炬燵猫》』を参照のこと。 []
  2. 現佐賀県武雄市もそんな感じですよね。 []