タグ別アーカイブ: 詐欺

NHKの「偽・佐川」警告記事を批判したIT関係者に徹底反論

NHKが2018/07/27 16:35に公開したこの記事『本物そっくり!?「偽・佐川」に厳重注意を!』(2018/07/27 16:35 NHK)にネット上の批判が集まったらしいが、その批判そのものが間違っていることを徹底的に批判してみる。

それらの批判はこちらの『NHKの「偽・佐川」警告記事に批判集まる。iPhoneが攻撃アプリに感染すると誤解を生む内容』(2018/07/28 20:37 Yahoo!ニュース)という記事でまとめられている。

民間企業でIT技術者として一般社員に情報セキュリティの啓蒙活動をしている立場からすると、上記NHKの記事はきわめて適切である。これを批判した方々は少なくとも啓蒙家としては適性がない。

日本のiPhoneのシェアの異常な高さ

批判の第一点は今回のフィッシングメールでマルウェア感染のリスクがないiPhoneの画面を掲載している点にあった。

しかし日本は世界的に見てiOSのシェアが異常に高い特殊な国である。

こちらがIDCによる2017年日本国内スマートフォンのベンダー別出荷台数だがAppleは約半数を占める。

他方、こちらは全世界の2017年各四半期ベンダー別出荷台数で、サムスンが常に2割強でAppleをしのいでいる。3位以下はHuawei、Xiaomi、OPPOとなっている。

日本人はXiaomi、OPPOなどというメーカーの名前自体知らないだろうし、世界第三位のHuaweiも日本国内のシェアはたった4%だ。

仮にAndroidの画面を使うとして、日本のAndroid端末の画面はキャリア固有アプリのアイコンが並んでいたり、比較的高いシェアのHuaweiはEMUIという独自UI、ASUSは設定画面が独自UIだったりと、そもそも「これが素のAndroidだ」と分かっている一般人などいない。

また一般人がスマホを選ぶとき、iOSとAndroidの違いを理解して機種を選んでいるわけではない。Apple製品の方がデザインが良いとか、友だちや家族にiPhoneを使っている人が多いからなど、技術的観点と無関係な理由で選んでいる。

したがって日本の一般人向けにできるだけ多くの注意を引きとめるために、技術的正確さを犠牲にしてもシェアの観点から「スマホ代表」としてiOS画面を選ぶのは方法論として正しい。

iOSで実害のあるフィッシングメールの存在

今回NHKが取り上げた佐川急便のフィッシングメールはapkファイルのダウンロードへ誘導するもので、たまたまiOSに影響はないだけだ。これが例えば遷移先サイトでApple IDとパスワードを詐取するものであればiOSユーザにも実害がある。

また、一般人は上述のようにiOSとAndroidの違いを技術的に理解しているわけではないため、フィッシングメールの中にiOSに無害なものと、AndroidとiOSの両方に害のあるものといった区別は付かない。

さらに一般人は当然ながら「フィッシング」「マルウェア」などのカテゴリーでサイバー攻撃を認識できない。「なんだか怪しい」という漠然とした不安や恐怖心があるだけだ。

その程度の認識しかない一般人に対して「今回の詐欺はAndroidにしか害がなく、iOSは大丈夫です」と伝えようものなら、まず「Androidって何?」という話になる。運よくその段階をクリアしたとしても「iOSは大丈夫」という間違った安心感を持たせてしまう。

たまたま今回のケースはapkダウンロード型でiOSに害はないが、技術的に正確に「iOSは害がありません」と伝えることで、かえってiOSユーザが別の種類のフィッシングで被害にあうリスクを確実に高める。

今回の啓蒙としては「SMSやメール経由で開いた怪しいサイトには要注意」という、非常にざっくりしたメッセージさえ伝わればよい。

啓蒙活動にかかわる方々は、最も知識レベルの低い聴衆に合わせて情報提供すべきである。そうすればこちらが伝えた内容が正確でないと分かる人たちは喜んで周囲に正しい知識を伝えてくれる。

啓蒙する側としては「スキ」のある内容を伝えた方が情報に伝播力を持たせることができる。まさに今回のNHKの記事にネット上の「専門家」の方々が喜んで食いついたように。

一般ユーザの「怠惰」の正しさ

一般ユーザは技術的なことが分からないので、スマホを購入して使い始めるときにいちいち説明書を読まない。iOSやAndroidの勉強などしない。使いたいアプリがすぐに使い始められさえすれば、OSの設定画面をわざわざ潜っていくなどの手間はかけない。

一般ユーザを致命的なサイバー攻撃から守っているのは、実はこの「怠惰」である。

今回の件もAndroidはデフォルトで提供元不明アプリのインストール許可はオフになっている。ユーザの「怠惰」が正しい結果につながるようにベンダーがフールプルーフ前提の「セキュリティ・バイ・デザイン」をやってくれているからだ。

にもかかわらず、わざわざ「提供元不明アプリのインストール許可はオフにしましょう」などという情報を伝え、それをマジメに聞いてしまった一般人が出てくると、その何割かは確実に逆のことをする。インストール許可をオンにしてしまう。

啓蒙活動においては、相手の情報処理能力に限界を前提として余計な情報を与えないことだ。

余計な情報を与えても何割かの聴衆は30秒後には忘れている。この物忘れの速さも正しい結果につながることがある。

また今回の佐川急便の例では別の面で一般人の「怠惰」が被害を小さくしている。デフォルト設定のAndroidで提供元不明のapkファイルをインストールする手順は非常に面倒だからだ。

間違ってapkファイルのダウンロードボタンをタップしたところで、apkファイルのサイズにもよるが、ダウンロードが終わるまでに別のアプリに移動し、そのうちダウンロードしたことさえ忘れる可能性が高い。これは「怠惰」の成果だ。

仮にダウンロードを待っていたとしても、そもそも提供元不明のアプリをインストールした経験のない一般人は、通知パネルを引き下ろしてダウンロード完了メッセージをタップするという手順が思いつかない。「あれ?さっきボタンを押したけど、ダウンロードしたのはどこ行った?」という程度だ。

この時点で面倒になって「まあどうせ家のポストに不在通知が入るし」とインストールをあきらめるだろう。これも「怠惰」の成果だ。

それでもあきらめずにダウンロード通知を奇跡的にタップできたとすると、提供元不明アプリのインストール警告が現れ、これを受け入れる必要がある。

この時点で「いい加減にしろよ、こっちはそんなにヒマじゃないんだよ。荷物の追跡くらいメールで送ってくればいいだろ」と切れ気味に別のアプリに戻る。これも「怠惰」の勝利だ。

これらはフールプルーフによる「セキュリティ・バイ・デザイン」の成果だ。エンドユーザの「バカ」や「怠惰」を安全な結果へ誘導するための工夫だ。

それを中途半端な啓蒙記事はぶち壊しにする。啓蒙家気取りのみなさんは、少なくともフールプルーフやセキュリティ・バイ・デザインの効果をぶち壊しにしないでほしい。

その効果をぶち壊しても「バカ」で「怠惰」な一般人を啓蒙したいというなら、そういう一般人を1分間以上引き留めるニュース原稿や、10分間以上引き留めるネット記事を書いてみてはどうか。

啓蒙で最も重要なのは知性ではなく感情

まして今回NHKがトレンドマイクロを担ぎ出したことについて、「トレンドマイクロを儲けさせるためだ」とする陰謀論まで出てくる始末だが、NHKがトレンドマイクロを担ぎ出したことも正しい。

無知な一般人に対する啓蒙で最も重要なのは相手の知性に訴えることではなく、感情で釣り上げることだ。

日本人は一般的に権威主義的なので、トレンドマイクロでもシマンテックでもカスペルスキーでも何でもいいので「専門家」を引っ張り出してきて祭り上げ、小難しいことを語らせれば感情で釣り上げることができる。

「なんだかよく分からないけど、偉い人が気を付けろって言ってるから気を付けなきゃ」

ここまでこぎつければ今回の啓蒙活動は成功である。

今回のフィッシングがiOSには害がないとか、Androidの設定画面でどうすれば提供元不明アプリのインストールを防止できるかとか、そうした情報はどうせ聴衆の頭に残らない。

聴衆の感情的なフックを利用してこちらに注意を向けさせ、細かいことは抜きにして危機感さえ持ってもらえれば、その後により正確なことを知ろうという動機づけにつながる。

逆に、最初から技術的に正確なことを伝えようとして「なんだか面倒だ」「よく分からない」とマイナスの動機づけを与えてしまえば、啓蒙活動としては失敗である。

そんなことさえ分からない人たちがツイッターで啓蒙活動っぽいことをやっているのだから、専門家の「裸の王様」具合は滑稽でさえある。

なおこのブログ記事は専門家に向けられたもので、一般人に向けて書かれた啓蒙記事ではない。

DMMポイントオークションの「サクラ」かもしれないユーザ一覧

DMMポイントオークションの「サクラ」は、けっこう普通に出没するようだ。同サイトの「終了オークション一覧」を見ると、「サクラ」が落札したとしか考えられない商品が意外にたくさん見つかる。
それは、赤字落札を複数回くり返しているユーザーである。
赤字落札とは、そのユーザーが落札した金額と、入札にかけた金額(=70円×入札回数)の合計が、その商品のDMM販売価格を上回っている落札のことだ。
実はこれは、DMMポイントオークションで終了済みのオークションを見ると、比較的簡単にわかるようになっている。
そこで、PHPで簡単なスクリプトを書いて、過去の終了オークション一覧から、赤字落札をしているユーザーをピックアップしてみた。
すると、予想どおり複数回くり返し赤字落札をしているユーザーが存在する。彼らが合理的に行動しているとすれば、「サクラ」であると考えておそらく間違いないだろう。
もちろん、数多くの出品商品の中で、たったこれだけしか「サクラ」がいないなら良いじゃないか、という意見がありそうだが、二つの反論ができる。
一つは黒字落札の全てが「サクラ」ではない一般ユーザの落札とは断言できないこと、もう一つは、いつ「サクラ」に出会うか分からないため、DMMポイントオークションが純然たるギャンブルになってしまっていることだ。
それとも、入札費用と落札価格の合計が、自分の負担金額になるという計算さえできない、言葉は悪いが「おバカさん」のユーザーが、こんなにたくさんいるということか?
ただし、これもあくまで個人的な意見なので、ご判断は皆さんにおまかせする。
下記のタブ区切りファイルには、1回でも赤字落札をしたことのあるユーザー名を、赤字落札の回数の降順に並べてある。じっくりご覧あれ。
DMMAuctionShillSuspects20100920.zip
*2011/09/15 追記
DMMがポイントオークションを2011/09/15をもって終了することを発表した。やましいところが何もなければ、何と言われようが続ければよかったと思うのだが、終了せざるを得なかったということは、やはりコンプライアンス上の問題が何かあったということなのだろうか。
【関連記事】
>>「DMMの新サービス『DMMポイントオークション』が非常にあやしいという単なるウワサ」
>>「DMMポイントオークションの必勝パターン発見!!」
>>「DMMポイントオークションの自動入札は限りなく「クロ」に近い?」
>>「DMMポイントオークションの「サクラ」の存在が証明できた」
>>「DMMポイントオークションにも一部該当する「オークション詐欺5つの戦術」」
>>「DMMポイントオークションのようなペニーオークションは詐欺か?」

DMMポイントオークションのようなペニーオークションは詐欺か?

DMMポイントオークション(いわゆるペニーオークションの一種)に「サクラ」がいることは証明された。(くどいって?)
この件にちなんで、「ペニーオークション、つまりSwoopoは詐欺か?」という英語のブログ記事(日付は2009/09/15)を見つけたので、内容をご紹介したい。
ちなみにSwoopoとは2005年にドイツで設立されたペニーオークション会社の名称らしい。以下、本文をそのまま日本語訳する。
「本当にしては話がうますぎる」というのが、皆さんの最初のリアクションではないだろうか?ペニーオークション会社はどうやって利益を上げられるのか?この質問に対する答えは簡単だ。顧客が50ポイントを支払うと、会社はペニーオークションで1ポンド上がるたびに50ポンド回収する。なので、例えばiPod nanoがペニーオークションで10ポンドに達すると、会社は100ポンドの商品について500ポンドを儲けることになる。
これは公正だろうか?あなたが何を公正と思うかによる。弁護士として、入札ごとに50ポイントのコストがかかるのは対価と見なせる。対価とは法律用語では基本的に、何かを得るために何かを与えることを意味する。なのでペニーオークションでは、入札するごとに50ポイント支払うことで、商品を実に安価に手に入れることができる。したがってペニーオークションは公正だと言えるが、入札回数が増えすぎ内容にする必要がある。したがって、ペニーオークション、つまりSwoopoは、入札に対して支払いが必要だから詐欺だ、というのは、合理的な議論ではない。
ではギャンブルなのだろうか?ペニーオークションはギャンブルと見なされるから詐欺だと非難されている。これもまた見当違いな非難だ。その非難の根拠は、何かを得るために支払う必要があるのに、その商品を得られないかもしれないから、つまり、5回の入札は250ポンドの価値になるが、何も得られないかもしれない、というものだ。しかし、ここに運の要素は含まれていない。ギャンブルは蓋然性の上に成立している。たとえば、ルーレットでは、2回に1回の可能性で黒に当たり、掛金の2倍の金額を得る。ペニーオークションでは、あなたが勝つかどうかを決めるのは運ではない。もし誰かがあなたより高額で入札したとすれば、それは運が悪いのではなく、誰かが何かをおこなったからであり、もしあなたがさらに入札すれば、あなたこそが最高額入札者になるのは確実だからだ。したがって、ペニーオークションはギャンブルではない。
しかし、新しいウェブサイトの中には、システムの悪用の仕方を探り始めているものもある。scriptlance.comというサイトで、あるペニーオークション・サイトのオーナーが次のような質問をしているのを見れば分かる。
「私はペニーオークション・サイトを始めましたが、200人ほどのメンバーのリストから数名のメンバーを利用して、特定の商品に対し、特定の価格に達するまで、あるメンバーが入札した後、そのオークションの残り時間1~5秒以内に自動的に入札するようなスクリプトが必要なんです」
この質問はペニーオークションが濫用されているケースだ。したがって詐欺と思われるウェブサイトは、よくよく注視する必要がある。
以上、お役に立てば幸いだが、これは単なる個人的な意見なので、後はグーグルで「Swoopo scam(=詐欺)」や「penny “auction scam”」で検索して頂きたい。しかし、私が個人的な意見として以上に書いたことは、バカなやり方で入札を全てムダにした顧客の怒りではなく、一つの理論なので、その点はお忘れなきよう。
最後の方に登場するペニーオークションのサイトオーナーの質問は、おそらくペニーオークション業界では、すでにお決まりの手段となっている「濫用」方法の一つなのだろう。
僕が検証した限りでは、DMMポイントオークションの自動入札の中には、このように残り時間1~5秒とギリギリまで入札を「待つ」自動入札がいくつも見つかっている。
したがってこのブログ記事の言う「濫用」に、DMMポイントオークションは部分的に当てはまると言えるだろう。あくまでこれは、単なる私見であることをお忘れなく。
*2011/09/15 追記
DMMがポイントオークションを2011/09/15をもって終了することを発表した。やましいところが何もなければ、何と言われようが続ければよかったと思うのだが、終了せざるを得なかったということは、やはりコンプライアンス上の問題が何かあったということなのだろうか。
【関連記事】
>>「DMMの新サービス『DMMポイントオークション』が非常にあやしいという単なるウワサ」
>>「DMMポイントオークションの必勝パターン発見!!」
>>「DMMポイントオークションの自動入札は限りなく「クロ」に近い?」
>>「DMMポイントオークションの「サクラ」の存在が証明できた」
>>「DMMポイントオークションにも一部該当する「オークション詐欺5つの戦術」」
>>「DMMポイントオークションの「サクラ」かもしれないユーザ一覧」

DMMポイントオークションにも一部該当する「オークション詐欺5つの戦術」

DMMポイントオークション(いわゆるペニーオークションの一種)に「サクラ」がいることは証明された。
この件にちなんで、「ペニーオークションが入札者をだますのに用いる詐欺の戦術トップ5」という英語のサイトを見つけたので、内容をご紹介したい。
一般的なペニーオークションの詐欺戦術として、以下の5つがあげられている。全文を日本語訳してみる。
サクラによる入札―これはペニーオークションのオーナーや、彼らの友人、従業員が、正当な入札者との入札競争を促進する目的で商品に入札するという、嘆かわしい行為だ。究極的には、オークション商品の最終落札価格を引き上げ、入札時間を引き伸ばすことでより多くの有料入札を集めることにつながる。
入札ボット―これはペニーオークションのサイトに組み込んで、ニセのユーザー・プロファイルを作成し、これらのアカウントを使ってニセの入札を行う自動化スクリプトである。正当な入札者には、他の人に対抗して入札しているように見える。
落札商品が発送できなくなる―多数のペニーオークション・スクリプトが入手できるので、ペニーオークションのウェブサイトを立ち上げるのはかなり安上がりである。参入障壁が低いことと、潜在的な利益が巨大なことから、多くの人々にとってペニーオークションというオンライン・ベンチャーは抗しがたい事業だ。不幸にも、結果としてオンライン・ペニーオークション市場は飽和しており、多くの失敗したサイトでは信じ難い低価格で落札された商品を発送できずに終わっている。
クレジットカード、デビットカード詐欺―奇妙なほど低価格で商品を入手できるチャンスがあるので、多くの入札者は新たに作られたペニーオークション・サイトを探す。いちばん勝てるチャンスがあるかもしれないからだ。こうしたペニーオークション戦略は論理的であるように見えて、リスクが非常に大きい。つまり、新しいペニーオークション・サイトは歴史がほとんどないか、全くないので、信頼性を計りようがない。さらに、新しいサイトのほとんどは利益をあげられないので、サイトオーナーは不誠実な事業戦術をつかう誘惑にかられ、そのような腐敗が起こる可能性はより大きくなる。したがって、クレジットカードやデビットカードの情報を、登録ユーザーから収集し、そうした情報を転売する可能性が、確実に存在する。こうした不正と戦うには、代わりにPayPalが使えるようなサイトを利用することを考慮すべきである。
負けた入札について返金がない―ほとんどのまともなペニーオークション・サイトでは、入札したが落札できなかったユーザーに、彼らが選んだ商品を購入する際、入札費用を割り引くことで返金してくれる。負けた入札に対して返金を行わなくても、詐欺には当たらないが、多くの場合、ペニーオークションのオーナーは入札に負けた場合、どうなるかをサイト上で明確に示していない。個人的な意見だが、こうした重要な情報をサイト上でかんたんに見つけられる場所で開示しないのは、サイトのオーナーが、消極的ではあるが、顧客をだまそうとしていると考えられる。
以上。DMMポイントオークションは、「サクラ」については限りなく「黒」に近く、「自動入札ボット」についてはかなり「グレー」である。
「落札商品が発送できない」については、落札者の多くが「サクラ」であれば該当することになるし、落札者に占める「サクラ」の割合がごくわずかなら該当しないことになる。これは部外者には判断しようがない。
残りの2つはDMMポイントオークションについては当てはまらない。
以上、個人的な意見だが、いずれにせよ「愛と苦悩の日記」の賢明な読者のみなさんは、DMMポイントオークションでお金をドブに捨てないようにすべきだろう。
*2011/09/15 追記
DMMがポイントオークションを2011/09/15をもって終了することを発表した。やましいところが何もなければ、何と言われようが続ければよかったと思うのだが、終了せざるを得なかったということは、やはりコンプライアンス上の問題が何かあったということなのだろうか。
【関連記事】
>>「DMMの新サービス『DMMポイントオークション』が非常にあやしいという単なるウワサ」
>>「DMMポイントオークションの必勝パターン発見!!」
>>「DMMポイントオークションの自動入札は限りなく「クロ」に近い?」
>>「DMMポイントオークションの「サクラ」の存在が証明できた」
>>「DMMポイントオークションのようなペニーオークションは詐欺か?」
>>「DMMポイントオークションの「サクラ」かもしれないユーザ一覧」