5/13からSoftBankのオンライン携帯回線管理サイトMy SoftBankが新しくなりました。
ところがこの新しいMy SoftBank、セキュリティーを全く考慮していない作りで本当驚いたというか呆れたというか…

既にMy SoftBankを利用しているユーザーはID移行手続きをする必要がある、ということでオンラインで手続きすることに。
新IDへの移行手続きをするためのリンクを開いて旧IDとパスワードでログインし、初期パスワード(ランダム文字列)を発行してもらいログイン。
そして新しく発行された初期パスワードを変更しました。
問題はこの後。
パスワードを変更した旨のSMSが送られてきたのですが、そこには変更したパスワードがそのまま書いてある。

これがそのSMS。
モザイク部分にパスワードがモロ書いてあります。
新しいMy SoftBankではユーザーIDとして携帯電話番号を使います(旧バージョンではユーザーが決めた任意の文字列)。
ですから誰かがその携帯電話を手にしてしまえば、簡単にMy SoftBankへの不正アクセスが可能、ということになります。
携帯電話番号はガラケーだと「メニューキー+0」、iPhoneだと「Settings→Phone(設定→電話)」などの操作で簡単に調べられます。
(ノキア端末はちょっと分かりづらいですが)
これでユーザーIDが分かり、例のSMSが端末に保存してあればパスワードも分かりますから、これでMy SoftBankへログインできます。
どうしてこれ程までにセキュリティーに対して不用心なのか不思議でなりません。

そもそもどうしてユーザーIDを他人が知り得やすい「携帯電話番号」にしたのががまず理解不能。
これまでの「ユーザーが決めた文字列」の方が他人が知りうることも少なく、セキュリティー的にも有利なはずですが。
そして変更したパスワードをSMSで送信する、というのはどう考えても有り得ない、愚の骨頂、ともいえる行為。
ユーザーIDとパスワードが同じ場所に保存される、ということになりますから、不正アクセスがしやすい状況を自ら作り出してしまいます。
SMSを送るのであれば単にパスワードを変更しました、という通知だけでいいはず。
というわけでユーザー側の対策としては

My SoftBankからのパスワード通知SMSはすぐに削除!!

これしかないですね。
でも日本ではSMSは一般的ではないですから、SMSを削除するってどうやるの? とかいう人が出てきそうですが。

そして新My SoftBankですが、単にログインID、パスワードが変わっただけでサービス内容はほとんど変更なしだったのは本当残念。
違うサービスメニューに移る際に毎回暗証番号(契約時に決める4桁の番号)を入力する必要がなくなったのが改善点、と言えるぐらい。
(これは本当うざかった)
個人的にはMy docomoと同様の利用料金照会サービス(=パケット定額などの割引サービスが適用された上での料金が分かる)を提供して欲しかった。
私はMilestoneをSoftBank回線で運用するようになってからパケット利用量の確認のために頻繁にMy SoftBankにアクセスするようになったこともあり、Excelで通信データ量や実際のパケット通信料を計算するファイルを作成したのですが、今後もそれが役立つ、ということになりそうです。
(というより端末上で通信データ量を確認できるようにしろよ→Google)

そのExcelファイルを使って先月分の通信データ量、実際のパケット通信料を計算してみたところ。
通信データ量は約75MBで、あちこちでXtreme Speedtestをやったりした分通信データ量が増えてしまったようです。
今月はWireless Tether for Root Usersを使いまくって通信データ量が増える、ということになるかも知れません。

このMy SoftBankのセキュリティーがダメダメな件についてSoftBankに聞いてみたいのですが、My SoftBankに関する問い合わせってショップやコールセンターで受け付けるんだろうか?