暗証番号は突然に

 ちょっと前から具合の悪かったカーナビゲーションシステムを、たとえばあなたが修理に出したとする。この機械は、他人(多くは家族)に勝手に設定を変えられないように、暗証番号で設定操作をロックできるしくみがある。ところが、うっかりしていて、修理に出す前にこのロックを外すのを忘れていた。修理を出してしまってから、あっ、と思ったのだが、恐れていた通り、しばらくして、修理を担当するメーカーから電話がかかってきた。ロックがかかっているから修理ができない。暗証番号を教えてください、というのである。中身を丸ごと取り替えるような修理ではないので、メーカー担当者はいったんロックを外す必要があるようだ。どうやら、裏技というか、メーカーだけが知っているマスターパスワードのような仕組みはついていないらしい。たぶん、この仕組み自体カーナビの盗難に備えたシビアなもので、そのへん厳しく作ってあるのだろう。

 しかし、ここであなたは困る。だいたい、電化製品というものはいざ本当に故障するまでは故障するはずがないと、心のどこかで信じているもので、今回の場合も、なんとなくカーナビはいつまでもうちにあるものだとばっかり思っていた。なので、別に構わないだろうとあの暗証番号は、銀行のキャッシュカードの暗証番号と同じにしていたのである。これは不幸なことだ。今ここでメーカー担当者に暗証番号を教えると、それらの預貯金が危険にさらされかねない。教えるべきかどうか、あなたは電話の前で悩んでしまう。

 いいじゃんか固いこと言うなよ教えてやれよ、と考える理由はたくさんある。一つ目に、ロックしたままメーカーに修理に出してしまったのは自分の落ち度である。突然ブラックアウトして設定解除もなにもないような故障ならしかたがないが、今の場合はそうではなく、送る前にちょっと考えが足りていれば、こんなことにはならなかったのだ。客観的に考えて、確かにこの点、悪いのは自分だと思う。

 理由の二つ目。関係ないあちこちの暗証番号を「同じ4桁の数字じゃないか」というところにだけ着目して、まったく同じ番号を使ったのも、今にして思えばいかにも配慮のないことだった。カーナビの設定変更防止に使う、言ってはなんだがちんけなパスワードと、お金を守る重大な役割をする銀行カードの暗証番号を、よりにもよって同じ数字にしなければならない理由など、どこにもない。しいていえば新しい番号を作って覚える手間がかからないで済むことくらいだが、これはつまり、手間を惜しんだ自分の怠惰が悪い、ということではないか。そういえばカーナビのマニュアルや暗証番号設定画面にも「番号は銀行等と同じにするな」という賢者の警告がしつこく出ていたのではなかったか。

 余談だがこの「どこでも同じ番号」の危険はよく知られていることで、ゴルフ場の貴重品ロッカー(暗証番号でロッカーを開ける)において、つい銀行と同じ番号を使ってしまったがために暗証番号とカードを盗まれ、お金を引き出されてしまった、という事件が、かつてあった。貴重品ロッカーの暗証番号入力用のキーボードのそばに、隠しカメラが取り付けられていたのである。怠惰は高くつく。

 考えてみれば、とあなたはつくづく後悔する。もしもカーナビの暗証番号がそこでしか使っていない番号なら、この数字を電話で教えることに、なんの危険もないと思われるのである。その番号で開けられる錠前は、その場合カーナビだけで、クレジットカードの番号やプロバイダのパスワードのように、誰でもどこからでも持ち主の知らないうちに使えるという類の重大なものではない。カーナビ本体がなければ意味がない数字なので、極端な話、隠さなければならない必要はどこにもない。なにしろ今そのカーナビは確かにメーカーの手元にあるのである。

 それに似た話で、理由の三つ目として、電話の相手がメーカーに成りすました犯罪者であるというのも、ちょっと考えにくいことなのだ。こういう経緯を知っているのはメーカーと修理に出した販売店くらいで、話の内容から、電話の相手がかれらであることは、まあ間違いない。暗証番号を流用しているというのも、自分しか知らないことだ。考えてみれば、相手はたぶん「暗証番号を銀行カードなどと同じにしてはいるまい」と思うから気軽に電話なんかで聞いてくるのだろう。

 さらに四つ目の理由としては、仮にここで自分が番号を秘匿すると、どえらい手間がかかる、ということである。教えられない教えるもんですか、と突っぱねた場合、メーカーはわざわざカーナビを返送して、それを自分がロック解除して、また送り返す、という手間をかけることになってしまう。メーカーにも迷惑をかけるが、その送料は自分持ちである気がする。そんな損をするのは嫌であるし、さらに言えばお盆の帰省に修理が間に合わないかもしれない。それは困る。

 まだある。五つ目。考えてみれば、きょうび、銀行のカードの暗証番号はけっこう簡単に変えることができるのだった。窓口ではなく、ATMでもぽちぽちピーで受け付けてくれる。今、番号を教えてしまい、それからできるだけ速やかに、最寄のATMに行って暗証番号の変更をしたら、すべて万々歳、それで済むことだ。銀行に行くのは手間だが、送り返す送料に比べれば、さすがにコストが低い。

 と、以上のようなことをいろいろと考えて、どれもこれも、もっともな理由なので、ロックしていたという落ち度も恥ずかしくて、あなたは番号を教えてしまうのである。そして、その日はもう夕方近かったので次の日、銀行に行ってみると、口座の中身をありこまち引き出されていたとしたら、どうか。ここからどういう教訓が得られるだろうか。

 つまりこういうことだと思う。いついかなるときでも、たとえこっちに百パーセント非があって相手が本当に困っている場合においても、教えないとたいへんな無駄が生じそれは暗証番号変更などのコストよりもはるかに高い場合でも、またさらに言えば、もしかして、その番号がないがために電話の向こうで誰かの命が危ないような場合でさえ、暗証番号を電話で教えたりしてはいけない、ということである。セキュリティ上の原則(同じ番号を使わない等)を最初に破ったのかが、あっちなのかこっちなのかなど、詳細は一切関係ない。暗証番号は、絶対に人に教えてはいけないのだ。

 これは、ある一面において「お役所仕事」と呼ばれている仕事の仕方に、非常によく似ている。規則を文字通りに解釈して、情状を酌量して例外的な運用をしたりは一切しない。それどころか事情など聞く耳を持たない。自分(役所)のほうが悪い場合でも、それを理由に規則の柔軟な運用などしないのである。これは大丈夫な場合ではないかとか、そういうふうに自分の頭で考えたりはしない。暗証番号、電話、と来たら自動的に「電話では暗証番号は教えられません」と判断して、あとの一切はこの決定に影響を与えないのである。知りたければ、直接来て定められた許可証にフォーマットにのっとって必要事項を書いてください。証明書類と一緒に正しい窓口に提出ください。一週間後に可否を通知しますのでまた来てください。書類が足りないかどうかもそのときにわかります。

 しかし、それでよいのだ。というより、近年、かなりの場合において、いわば効率のために原則を一部犠牲にしたような箇所から、情報が漏れているように思う。仮にお役所から情報が漏れた場合においてさえ、それはお役所特有の融通の利かなさではなく、融通が利きすぎたこと(たとえば持ち帰りサービス残業をしたこと)が原因になっている場合が多い、ような気がする。

 ソーシャルエンジニアリングと呼ぶそうなのだが、組織から情報を盗み出そうとするヤカラの手管の一つとして、その組織を構成する人間の、その人間的なミスにつけこんで情報を得ようとする方法があって、それはシステムの欠陥につけこむ手口よりも、ずっと広範に用いられているそうである。そういう場合に使われるトリックはいろいろあるのだが、相手の引け目を利用して本来外に出してはいけない情報を得るというのは、その基本的な技の一つである。振り込め詐欺だってそうだ。お金が必要な事情を文書にして証明書類と一緒に提出しなさい、後日一ヶ月以内に母さん達と一緒に協議して結果をはがきで通知するから、というような態度を取っていれば、だまされることはない。今は緊急事態であり緊急事態にはルールを破ってよい、という認識が、老後のたくわえを詐欺師の飲み代に持っていかれるという結果を招いてしまうのではないだろうか。

 自分が悪いかどうかは関係ない。事情は汲み取らない。緊急事態という主張に動じない。情報漏洩を防ぐためには、我々はもっと厚顔に、お役所的にならないといけないのだということなのだろうと思う。よいこととは思えない。しかし、しかたのないことではあるのだ。世界は意地悪にできているようだから。


トップページへ
▽前を読む][研究内容一覧ヘ][△次を読む