情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

生体認証

04.認証

1.なぜ、生体認証が必要か

 生態認証ではなく、生体認証。生態とは、生きている様を表した言葉で、生体は体そのものを指す。
情報処理安全確保支援士試験でもたまに登場する。なぜ生体認証が必要なのか、基礎から理解しておこう。

(1)生体認証の利点

dcf52feb



生体認証よりも、ICカードなど所有物認証の方が
サービス提供側は簡単ではないのでしょうか。
 それはそう。生体認証をするための指紋認証装置や静脈認証の装置は割高だし、登録にも手間がかかるからね。
それでも、生体認証にはメリットがある。それは以下である。
 ①セキュリティが高い
 ②盗まれにくい
 ③覚える必要がない。(運用が簡単)

パスワードは簡単に盗まれる可能性がある。これに対し、指紋は盗まれにくい。パスワードは、「定期的に変更しろ、複雑なものにしろ」との要求が強くなっており、結局画面にはったり、文書化して保存することも多い。これでは本末転倒。
 生体認証の最大の強みは、ICカードなどと違って、貸し借りができないことである。ただ、なりすましが無理かというと、100%そうとも言い切れない。人工模造物によるなりすましのリスクもある。

話が変わるが、「挑む力 世界一を獲った富士通の流儀」(日経BP社)には、静脈認証の効果について、「ブラジルでは年金を受け取るために、1年に1回、受給口座のある銀行に出向いて「生きています」という証明をしなければならない。だが、ATMの手のひら静脈認証をパスした人は、生存が証明でき、この手続きが不要になった」とも述べられている。こんな効果もあったようだ。

(2)生体認証の欠点

 もちろん、コストや運用の大変さなどがあるが、それ以外にもデメリットがある。情報処理安全確保支援士試験の対策としては出題されないと思うので、ご参考まで。
生体認証の場合、一度なりすましをされると、パスワードと違って指紋を変更することが難しいという欠点もある。
それと、指紋登録時に、第三者が不正に登録される可能性がある。指紋を偽造するより、ソーシャルエンジニアリングにて手続きを偽造するほうが簡単だからだ。だから、指紋登録時には、複数人の立会にて慎重にセキュリティチェックをする必要がある。
また、指紋は認証情報が表面に出る。そうならいような生体認証である静脈認証や虹彩認証の活用も少しずつ増えている。

2.生体認証(バイオメトリクス認証)の種類

 生体認証には様々な種類がある。情報処理安全確保支援士試験でも、これらの方式が登場するので、まずは言葉をしっかりと理解しましょう。

(1)指紋認証

 人間の指紋だけでなく、猫の肉球でも認証できたようだ。指紋は薄い人がいることや、表にでるから偽造しやすいこと、誤検知と見逃しも多いことから、静脈が推奨である。
f:id:seeeko:20210612115038p:plain

(2)静脈パターン認証

指や手のひらなどの静脈パターンで認証します。指紋認証に比べて偽造が難しいことから、生体認証での中心的な役割をになっています。三菱UFJ銀行など、多くの銀行では静脈認証として、手のひらで認証します。
f:id:seeeko:20210612115442p:plain

(3)顔認証

スマホでも顔認証が採用されていることがある。
db2fc28c



顔認証はUSJで採用されていますよね。
たしか、NEC製だったと思います。

(4)虹彩認証

 正式名称ではないが、目には俗に言う白目と黒目がある。この黒目の中で、中心部分が瞳孔、その周りが虹彩である。精度は高いが、コスト面で普及が進んでいない。
特徴としては、以下がある。
・「成人には虹彩の経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要(H28秋AP午前問41)」
・「他人受入率を顔認証と比べて低くすることが可能(R1秋高度AM1問15)。
f:id:seeeko:20210612115712p:plain

(5)声紋認証

 声による認証である。
f:id:seeeko:20210612115552p:plain

(6)網膜認証

過去問を解いてみよう。

過去問(H18秋AD午前問50)
問50 バイオメトリクス認証に使われるもので,小型光学式センサや薄型静電式センサから入力した画像を,特徴点抽出方式やパターンマッチングによって照合するものはどれか。

ア 虹(こう)彩
イ 指紋
ウ 声紋
エ 網膜






種類はたくさんあれど、設問で問われるのはオーソドックスなのもばかりかもしれない。
正解は、イ

もう一問。

過去問(H23春IP)
問68 生体認証の仕組みとして,静脈パターンを利用するものはどれか。

ア 顔認証
イ 虹(こう)彩認証
ウ 声紋認証
エ 掌(てのひら)認証






正解は、エ

■H28秋AP午前問41

過去問(H28秋AP午前問41)
問41 アクセス制御に用いる認証デバイスの特徴に関する記述のうち,適切なものはどれか。

ア USBメモリにディジタル証明書を組み込み,認証デバイスとする場合は,利用するPCのMACアドレスを組み込む必要がある。
イ 成人には虹彩の経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
ウ 静電容量方式の指紋認証デバイスでは,LED 照明を設置した室内において正常に認証できなくなる可能性がある。
エ 認証に利用する接触型ICカードは,カード内のコイルの誘導起電力を利用している。






経年変化がないことが虹彩認証の特徴です。
正解:イ

■R1秋高度AM1

過去問(R1秋高度AM1)
問15 虹彩認証に関する記述のうち,最も適切なものはどれか。

ア 経年変化による認証精度の低下を防止するために,利用者の虹彩情報を定期的に登録し直さなければならない。
イ 赤外線カメラを用いると,照度を高くするほど,目に負担を掛けることなく認証精度を向上させることができる。
ウ 他人受入率を顔認証と比べて低くすることが可能である。
エ 本人が装置に接触したあとに残された遺留物を採取し,それを加工することによって認証データを偽造し,本人になりすますことが可能である。






虹彩は、経年劣化がないのが特徴です。これってすごい!
また、顔認証は他人(たとえば双子)を区別できないこともありますが、虹彩は区別します。
正解:ウ

3.身体的特徴と行動的特徴

IPAのサイトには、以下の記述がある。
(旧リンク)http://www.ipa.go.jp/files/000013804.pdf

1.1.生体認証(バイオメトリクス)とは
 生体認証とは、人の生体的な特徴・特性を用いて行う本人認証方式である。

 生体的な特徴・特性を総称して生体情報と呼ぶ。生体情報には、指紋や顔など身体的外観に基づく身体的特徴と、音声や署名など行動特性に基づく行動的特徴がある。身体的特徴は、常に本人の肉体に付随している。行動的特徴は、本人の癖であり、本人であれば再現が可能なものである。

過去問(H27FE春午前問41)をみてみよう。

過去問(H27FE春午前問41)
問41 バイオメトリクス認証には,身体的特徴を抽出して認証する方式と行動的特徴を抽出して認証する方式がある。行動的特徴を用いているものはどれか。

ア 血管の分岐点の分岐角度や分岐点間の長さから特徴を抽出して認証する。
イ 署名するときの速度や筆圧から特徴を抽出して認証する。
ウ 瞳孔から外側に向かって発生するカオス状のしわの特徴を抽出して認証する。
エ 隆線によって形作られる紋様からマニューシヤと呼ばれる特徴点を抽出して認証する。






選択肢は以下を示している。
ア:静脈認証
イ:サイン認証
ウ:虹彩認証
エ:指紋認証

行動的特徴を用いているのは、サイン認証である。

4.FRR(False Rejection Rate)とFAR(False Acceptance Rate)

過去問(H21春FE午前)
問43 生体認証システムを導入するときに考慮すべき点として、最も適切なものはどれか。

ア システムを誤作動させるデータを無害化する機能をもつライブラリを使用する。
イ パターンファイルの頻繁な更新だけでなく,ヒューリスティックなど別の手段を組み合わせる。
ウ 本人のディジタル証明書を信頼できる第三者機関に発行してもらう。
エ 本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。






過去問(H20春FE午前64)に、生体認証(バイオメトリクス認証)の判定しきい値に関する表現がある。FRR(本人拒否率)とFAR(他人受入率)である。
両者の関係は、「FRRを減少させると、FARは増大する」であり、トレードオフである。

(1)本人拒否率(FRR:False Rejection Rate)

本人拒否率とは、言葉の通り,(正しい)本人を誤って(False)拒否する(Rejection)確率(Rate)です。

(2)他人受入率(FAR:False Acceptance Rate)

 他人受入率とは、他人を誤って(False)受け入れてしまう(Acceptance)確率(Rate)です。

 大阪にあるUSJでは、年間パスを持っているかどうかを顔認証システムで判断します。この、顔認証システムを例にしますと、本人がメガネをかけたり、太ったり、疲れていたりするなどして顔の表情が変わったとします。そんな場合に、本人であっても認証が拒否される確率がFRR(本人拒否率)です。一方、双子の妹など、本人以外が認証に成功するのが、FAR(他人受入率)です。
far
本人拒否率を高くすると、本人なのに入室できないという問題が発生する可能性がある。逆に本人拒否率を低くすると、これは認証の許容範囲を広げることになるので、他人受入率が上がってしまう。そうなるとセキュリティが弱くなる。

過去問にて、生体認証の本人拒否率と他人受入率に関する記述があるので引用する。

生体認証の本人拒否率と他人受入率に関する記述
 入退室管理システムは、勤怠管理システムなどとは異なり、なりすまし防止が重要なことから、安全性要件としては、本人拒否率を低くすることよりも、他人受入率を低くすることを優先する必要があります。
(H20SU午後Ⅰ問3より引用)

11d7b807


本人拒否率と他人受入率ですか…
ということは、本人受入率と他人拒否率もありますね。
なんだかややこしい。
 用語として本人受入率と他人拒否率は無い。
覚えにくいのであるが、FRR(False Rejection Rate)もFAR(False Acceptance
Rate)もどちらもFalse(間違い)の字が入っている。つまり、間違える率を気にしているのだ。本人は受け入れて正解、他人は拒否して正解、だから、本人受入率と他人拒否率という言葉は使わない。
こう考えてもらうと、覚えやすいのではないか。

さて、この問題の正解はエである。

5.生体認証における「なりすまし」対策

生体認証における「なりすまし対策」として、過去問に例が載っているので紹介します。

生体認証における「なりすまし対策」 (H20SU午後1問3より引用)
1.なりすまし攻撃への対策
 ・指紋の登録に際し、登録者本人であることを社員証などで確認する。
 ・センサの生態検知機能によって、人工模造物による登録及び認証を防止する。
 ・登録された指紋データから指紋を推測できないデータ登録方式を採用し、登録者の指紋データを保護する。
 ・本人の登録操作に立会者を置き、本人以外の指紋登録を防止する。
図1 なりすましや誤作動誘発の防止対策

所有物認証

04.認証

1.ワンタイムパスワード

(1)S/KEY
過去問(H22春SC午前2問4)
ワンタイムパスワード(One Time Password)の仕組みの中で「サーバはクライアントから送られた使い捨てパスワードを演算し、サーバで記憶している前回の使い捨てパスワードと比較することによって、クライアントを認証する(H22春SC午前2問4)」 仕組みは何か?






情報処理安全確保支援士試験の過去問からの出題ではあるが、これは難しい。最近の情報処理安全確保支援士試験ではあまり出ないと思っていもいいだろう。
まず、ワンタイムパスワード(One Time Password)は、パスワードの盗聴に備え、パスワードを1回限りにする仕組み。パスワードがたとえ盗聴されても、そのパスワードは利用できないので安全になる。
7a536a8a

確か、電卓のようなものでパスワードを発行した記憶があります。
 恐らくそれは、有名なRSAセキュリティ社のSecurIDだね。トークンと呼ばれるパスワード生成器を使い、時刻同期方式にて認証する。
それ以外にはS/KEYというソフトウェアがある。今回はS/KEYワンタイムパスワードの説明である。これが正解。

(2)時刻同期方式

 情報処理安全確保支援士試験では基本となる方式である。時刻ベースのOTPとしてTOTP(Time-based One-Time Password)という言葉で表現されることもある。オンラインバンキングなどで利用されるハードウェア型のトークンや、Google認証システム「Google Authenticator」などのソフトウェア型のトークンもある。
過去問(H23NW午後2問2)に時刻同期方式の問題があるので引用する。以下はハードウェアトークン型のTOTPである。

引用(H23NW午後2問2)
社外でTCを使用するときには,トークンを使ったワンタイムパスワード(以下,OTPという)方式の認証でセキュリティを確保する。
(中略)
OTPは,時刻同期方式を利用する。社員に,あらかじめトークンと呼ばれるパスワード生成器を配布する。トークンが生成する数字は1分経過ごとに変化し,一度しか使用できない。本方式では,時刻のずれが発生するので,ずれの許容範囲を設定する。認証サーバは,許容範囲内で認証を試みて,認証できたらトークンとの時刻のずれを推定して記憶し,次回の認証時に,記憶したずれを基に時刻の補正を行う。

設問3〔社外でのTC使用時のセキュリティ対策〕について,(1),(2)に答えよ。
(1) トークンが生成する数字を変化させる時間間隔を長くすると,トークンに表示された数字を正しく入力しても,不正パスワードになるケースが発生することがある。その理由を,20字以内で述べよ。
(2) 本文中の時刻同期方式で,ずれた時刻を認証サーバが推定する方法を,50字以内で述べよ。

OTPのトークンを見たことがある人も多いことだろう。
キーホルダーぐらいの大きさの機器だ。この液晶画面に表示される数字がOTP。
otp
4
なぜ、時刻同期をするのですか?
「時刻」というのが、唐突な感じで、疑問です。
 時刻同期をしなければ,昨日のパスワードでも、1週間前にトークンで作成したパスワードでもログインできる。つまり,ログインできるパスワードが増えるので,不正ログインのリスクが広がるからだ。
5
問題文に、「本方式では,時刻のずれが発生する」とありますね。
時刻同期なので、認証サーバとトークンは時刻の同期をしているのでは?
 同期をしていないね。そもそも、両者はつながっていないからさ。
さて、設問の解答例は以下である。
(1)パスワードの再使用となるから
(2)認証できたパスワードが生成された時刻と,パスワードを受信した時刻の差から推測する

(3)スマホアプリによるTOTPを入力する流れ

情報処理安全確保支援士試験の過去問(H31春SC午後1問2)の図4をもとに、スマホアプリでのOTPの流れを確認する。

f:id:seeeko:20210504162520p:plain
 このままだとイメージが湧きにくいので、上記の流れを、AWSのログイン時にスマホのGoogle認証システム「Google Authenticator」によるMFA(多要素認証)で紹介する。

❶認証要求(利用者ID、パスワード)
 AWSでも、まずは利用者ID(メールアドレス)とパスワードを順次問われる。
f:id:seeeko:20210504162755p:plain

❷利用者ID,パスワードの検証
 この内容は利用者には見えないので、画面キャプチャは割愛(というか存在しない)

❸OTP要求
 以下がAWS画面でのOTP要求画面である。もちろん、事前にスマホと連携して初期設定がされてある。
f:id:seeeko:20210504163413p:plain

❹現在時刻、共通鍵からOTP算出
 OTP算出するプロセスは見えないが、スマホのGoogle認証システム「Google Authenticator」に、AWSにユーザXXXでログインする場合の設定がなされているので、表示されるOTPを確認する
f:id:seeeko:20210504163447p:plain

❺利用者がOTPを入力
 表示された6桁の数字(上記の場合は「696925」)をAWSの画面に入力

❻OTP
 OTPがAWSに送信される(AWSの中で認証サーバに連携)

❼利用者IDに対する共通鍵を選択、現在時刻、共通鍵からOTPを検証
 AWS内で検証がなされる。

❽利用者IDの認証結果
 認証結果が正しければ、AWS画面にログインできる。

(4)スマホアプリによるTOTPの登録の流れ

では、実際のOTPの利用の流れがイメージできたと思うので、次は、アプリの登録処理の流れを開設する。こちらも同じ過去問ではあるが、情報処理安全確保支援士試験の過去問(H31春SC午後1問2)の図3をもとにする。
f:id:seeeko:20210504164017p:plain

 こちらもAWSでスマホによるOTP認証が行えるようにするための実際の画面を補足する。

❶OTP認証方式の利用登録要求
 AWSの場合、ユーザ単位でどのような認証をするかを選ぶことができる。今回はuser1というアカウントにMFAデバイス、つまりスマホのアプリを割り当てる処理を行う。
f:id:seeeko:20210504164454p:plain

上記の「管理」をクリック。以下の画面が表示されるので、一番上の「仮想MFAデバイス」を選択する。説明文にあるように、これが、「モバイルデバイスまたはコンピュータにインストールされたAuthenticatorアプリケーション」であり、今回はスマホのGoogle認証システム「Google Authenticator」を使う。
f:id:seeeko:20210504164540p:plain

❷共通鍵を作成・登録
 AWS内で、共通鍵が作成される。

❸ORコード(ドメイン、共通鍵)
 すると、AWS側から以下のような画面が表示される。ここではドメイン、共通鍵とあるが、AWSでは内容が若干異なるかもしれない。
f:id:seeeko:20210504164730p:plain

❹カメラでQRコードを読取り
 上記のQRコードを読み込むことで、AWSのサーバの情報やユーザアカウント、共通鍵を取得する。
このとき、AWではMFAコードを2回入力させている。この手続きはAWSでは必須であるが、過去問の流れでは記載がない。時刻同期ができているかなども含めて、OTPが正しく発行されるかの確認のために入力させていると思う。

❺ドメイン、共通鍵を登録
 取得したものをスマホに登録する。これで、ログインするときには、ドメインや共通鍵などの情報をもとに、OTPを発行する。 

2.MACアドレス認証

MACアドレス認証はセキュリティ対策として不十分と言われている。
なぜでしょうか?






理由① クライアントPCでMACアドレスの偽装が簡単にできること。
最近は簡単にできなくなったようですが、昔のパソコンは、マイネットワークのプロパティで、簡単に変更ができた。

理由② MACアドレスは暗号化されないので、盗聴可能であること。
例えば、無線LANによってWEPで暗号化したとしても、MACアドレスは暗号化されない。

この2つから、MACアドレスを盗聴したうえでそのMACアドレスに偽装されるからです。
情報セキュリティスペシャリスト試験を勉強する成子
ん?
では、MACアドレスも暗号化すればいいのではないですか?
そうすれば、認証として安全ですよね?
 いや、MACアドレスを暗号化してしまったら、そもそも通信ができない。どこにフレームを転送すればいいかも分からないからだ。

3.スマホアプリの利用者認証

情報処理安全確保支援士試験の過去問(H25SC秋午後1問2)を見てみよう。

過去問(H25SC秋午後1問2)
〔スマホアプリの利用者認証〕
 Bさんは,スマホアプリを開発するに当たり,利用者認証について情報システム部のC課長に相談した。次は,そのときの会話である。
Bさん:スマホアプリを繰返し利用してもらうために,面倒なログイン操作は初回だけにして,2回目以降は自動的に利用者が認証されるようにしたいと考えています。
C課長:2回目以降はどんな情報を用いて利用者を認証するのかね。
Bさん:スマートフォンには, IMEI (International Mobile Equipment Identity)などの固有の端末識別番号が付与されていますので,これを用いて利用者を認証することを考えています。
C課長:確かに端末識別番号は端末の固有コードにはなるね。しかし,①端末識別番号の特性を考えると,自分の端末識別番号を別の端末で利用されて,サービス認証に使うわけにはいかないな。
Bさん:そのまま使うのが問題であれば,端末識別番号を基にスマホアプリ内で②鍵付きハッシュ関数で算出したハッシュ値を使うという方法はどうでしょう。
 このスマホアプリ専用の鍵を一つ用意して,スマホアプリ内に格納しておけば,不正利用を防ぐことができるのではないかと思います。
C課長:しかし,③鍵を秘密にしておくことが難しいので,その方法を採用してはいけないと思うよ。スマートフォンサイトでの利用者認証は,一般的なPCサイトと同じように考えた方がいいのではないかな。
Bさん:分かりました。

設問1 〔スマホアプリの利用者認証〕について, (1)~(3)に答えよ。
(1)C課長が本文中の下線①のように判断したのは,端末識別番号のどのような特性からか。 20字以内で述べよ。
(2)本文中の下線②の鍵付きハッジュ関数を解答群の中から選び,記号で答えよ。
 解答群
   ア AES
   イ HMAC
   ウ RIPEMD
   エ SHA-256
(3)本文中の下線③について,どのような手法で鍵を知られてしまうか。30字以内で述べよ。






詳しくは別途書きたいが、スマホ端末の個体識別番号(IMEI)は、*#06# と入力すると表示される。これとは別に、利用者を認証するSIMカードのIMSI(International Mobile Subscriber Identity)という番号もある。
端末のSIMを入れ替えた場合、両者があれば、「誰がどの端末」を使っているかの識別ができる。

正解は
(1)秘密情報ではないという特性
(2)イ
(3)スマホアプリをリバースエンジニアリングする

4.【参考】所有物認証 ICカードとPINコード

 ディジタル署名機能を組み込んだICカードの利用が広がっている。パスワード認証だけの場合、パスワードが漏えいすれば、例えばインターネット上のシステムの場合に世界中のどこからでも不正利用できてしまう。しかし、ICカードなどの認証デバイスを利用した認証の場合、ICカードを持っていないと認証できない。セキュリティの強度は大幅に上がる。

 さらに、会社の社員証と兼用するなどして存在価値を高めれば、ICカードの貸し借りが減り、人的なセキュリティリスクをさらに防ぎやすくなる。
また、PIN(Personal Identification Number)入力を求めて二要素認証をすることで、ICカードが盗まれてもPINが分からなければ不正アクセスされることはない。

 一般的なPINの運用に関しては、情報処理安全確保支援士試験の過去問(H18SV午後Ⅰ問3)に事例が掲載されているので紹介する。

一般的なPINの運用に関する事例
 ICカードには、新規発行時に初期PINが設定され、従業員にはICカード受領後に初期PINを変更することを義務付けた。
(中略)
 従業員がPINを入力し、連続して5回照合に失敗すると、そのICカードを使用不可能な状態(以下、ロック状態という)とする。従業員がPINを忘れてしまった場合や、ロック状態となった場合は、人事総務部が管理者としてICカードを回収し、ロックを解除した後、再度PINを設定して、従業員に返却する。
(H18SV午後Ⅰ問3より抜粋)

ICカードの欠点は、ICカード読み取り装置が必要であり、初期コストがかかることである。

■補足:ICカード(USBトークン)のPIN
 ・証明書を利用する際に、PINコードを入力しないと利用できない。
 ・最初に管理者からeTokenをもらったときに、初期パスワード(PIN)が設定されているので、自分しかしらないパスワードに変更する。
 ・ 忘れてしまった場合は、管理者しか復旧できない。
 ・ PINコードや証明書には有効期限を設けておくべきであろう。
 ・PINロック:一定回数以上パスワード入力に失敗すると、ロックされる。※ロックを設定しないことも可能。管理者のみロック解除ができる。
 ・USBトークンを初期化することは可能。ただし、その場合、内容は全て削除される。

5.クレジットカードの不正使用。誰が責任をおう?

情報処理安全確保支援士試験には関係ない、余談である。

問題
Q 知らない店からのクレジット請求がきました。どうやら、クレジット番号を不正使用して第三者がその店から購入したようです。
この場合、誰が責任をとる?
 1.利用者
 2.店
 3.クレジットカード会社






状況によりますが、店(だと思われます。)
お店が本人確認などを怠ったという理由です。サインをきちんと確認しなかったなどの場合です。
3Dセキュアなどを導入していれば店の責任ではなくカード会社が保障することになるかもしれません。
とはいえ、無用なトラブルに巻き込まれたり、もやもやしないために、カードには上限額の設定をしておくとよいでしょう。カード会社によっては、自動増額設定がされてある場合があります。いつのまにか上限が100万円という大金になっている場合があります。クレジットカード会社への確認も必要ですね。
sef1

話が変わりますが、解約したカードがあるんですけど、そのカードから請求書が届きました。しかも、私の銀行口座から引き落としをするんですって。びっくりしました。
その点は、知らない人もいるが、そうらしい。
クレジットカードを解約したら、カード会社との関係が切れると思っていたが、某社(だけ?)の場合は7年間、情報を保持するということ。つまり、その間に請求が来たら、銀行口座から引き落とされる。
d18680c9
今回の場合は、私が年間契約の支払い情報を変更していなかったのが原因。だから、私の責任と思っている。でも、不正な第三者が請求をした場合でも、同じように請求されることがあるということが分かった。
 そう。だから、初回の特典を期待して、カードをたくさん作るという行為はやめた方がいいだろうね。