帰宅後、早速メールをチェックしてびっくり。「クラブツーリズムからお客様へ重要なお知らせ」というお詫びメールが来ていた。メールの内容に関しては、同社のウェブページ(http://www.club-t.com/)に現在アップされている内容とほぼ同じ。

旅行関係の話をすれば、id:mfunaki:20041007やid:mfunaki:20041008にも書いたように、わが家はすでに、阪急交通社の情報漏洩の犠牲になっているのだが、今度は近畿日本ツーリストである(クラブツーリズムは現在近ツーとは別会社とはいえ、あえてこう言っておこう)。しかも、今回漏れた情報の中には、何と会員IDとパスワード、メールアドレス(その他住所、電話番号など各種情報も含む)も含まれているのだ。もし会員が他のアカウントと同じパスワードを、クラブツーリズムでも使っていたとすれば(メールを読むためのPOPサーバなり、ショッピングサイトなり)、被害はクラブツーリズムの上だけにとどまらず、メールは見られるは、ショッピングサイトで買い物はされるは(送り先を変更しないといけないので、こちらは足がつきやすいが、なーに、私設私書箱を使うなど抜け道はある)、現金を直接盗むというのは限りなく不可能にせよ、メールアドレスとパスワードでユーザ認証するようなサイトには入りたい放題である。

...帰国早々、ゆっくりしたい気持ちを脇に早速、私自身のクラブツーリズムで使っていたパスワードをチェックしたところ...ホッとため息。幸いにも他のサイトやサービスで使っているパスワードとは別のパスワードを設定していたので、今後、取り立てメールやイタ電や、その他いろいろ被害は発生するにせよ(これらだって十分に「被害」である)、いつの間にかメールの内容が筒抜けになっていたり、ショッピングサイトで品物を買われたり...ということはなさそうだ。

ところで、件のメールの内容、

つきましては、あなた様の個人情報の不正使用を防止するために、現在の

パスワードを新パスワードへと変更させていただきます。新パスワードの

詳細は、後日改めてメールにてご案内いたします。

という所は大して重要ではない。クラブツーリズムにログインするためのIDとパスワードが漏れたからといって、今後、クラブツーリズム内で発生するであろう被害というのはたかが知れている。盗んだパスワードでクラブツーリズムにログインできたからといって、「旅行」という商品はそもそも換金性が悪いし、自分で消費するにしても、人の名前で旅行してもうれしくない。

むしろ、

本件に関する今回の流出で想定される二次被害等のご心配につきましては、

専門のコールセンターを設置いたしましたので、以下の番号までお問合せ

くださいますようお願い申し上げます。

の方が(ちゃんと、具体的な想定被害例も挙げて)重要でしょうが。そもそも、メールアドレスを変更してしまったので、このメールなりWEB上の情報を知らない人だって少なくはあるまい。もちろん、具体的な想定被害例を指摘することにより、この手の犯罪をあおりかねない点が何とも悩ましいが。

2005年3月22日追記: 同社のホームページの内容はいくつか追加されており、上記に指摘した点も「なりすましのログイン」として説明されている(http://www.club-t.com/sagi.htm)。全６項目中の６番目というのは？？という気もするが、どういう順序で危険を通知するかは緒論あるだろうから、ここでは深く立ち入らない。

http://www.itmedia.co.jp/enterprise/articles/0503/19/news017.html

http://www.yomiuri.co.jp/national/news/20050319i214.htm

http://www.sankei.co.jp/news/050319/sha116.htm

http://internet.watch.impress.co.jp/cda/news/2005/03/22/6932.html