2008年08月02日
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 
ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。
早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。
SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。
現在の情報: 未登録
ユーザIDの通知とは?
(必ずお読みください)
通知する通知しない
ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
ユーザID通知とは、ソフトバンクネットワークにて保存されているお客様情報(ユーザID及びローミング情報)を自動的に情報提供者側に通知する機能です。お客様情報を通知することによって、Yahoo!ケータイでインターネット上のコンテンツを利用する際に、情報提供者がお客様情報を使った様々なサービスを提供する事が可能になります。
どんな事ができるようになるの?
有料サービスを使うことができたり、お客様個々の嗜好に応じたサービスを情報提供者より受けることが可能になります。
ユーザID通知登録をしないとどうなるの?
有料サービスが使えなくなったり、一部の情報提供者(サイト)のサービスが使えなくなることがあります。
コンテンツパートナー等にお客様のユーザID、及びローミング情報が通知されたことに起因する紛争については、当社は一切の責任を負いかねますので、あらかじめご了承ください。
ユーザID通知に同意いただいた場合、暗証番号を入力することなく有料情報の登録および解除が行えますので、あらかじめご了承ください。
iモードや、EZweb、EMnetでは、このような重要事項告知を目にした記憶がない。ソフトバンクモバイルだけが、こうしてユーザに告知している。これはどのように評価され得るだろうか。
「ユーザに知らせているだけ良い態度だ」と評価する人もいるだろう。しかし、この告知文が言わんとすることの要点は、「コンテンツパートナー等にお客様のユーザID(略)が通知されたことに起因する紛争については、当社は一切の責任を負いかねます」という部分だろう。ユーザが自ら「通知する」を選択した以上、ソフトバンクモバイル社に責任はないとする態度だ。
これは、ユーザID通知に何らかの危険性が存在することを、ソフトバンクモバイル社自身が認識していることの現れであろう。しかし、危険性が存在することをこの告知文は何ら示していない。
「どんな事ができるようになるの?」と「ユーザID通知登録をしないとどうなるの?」の説明を読めば、「通知する」に設定する以外に選択肢がないと感じるのが普通だろう。賢い人ならば、「通知する以外にないのに、どうしてこんな告知が出るんだろう?」とか、「当社は一切の責任を負いかねます」とわざわざ書くのはどうしてなんだろう?」と、何かおかしいことに気付くかもしれないが、普通の人、ましてや知的弱者の方々は、「何コレ、通知するしかないじゃん」と「通知する」を選択してしまうだろう。
このような、危険性の存在を認識しながら、危険性の説明をすることなく、都合の良いことだけ説明して、ユーザに「通知する」を選択させるような方法で、はたして、「ユーザの同意を得た」「当社に責任はない」という主張が通るものだろうか?
なお、英語版の告知では「I agree to allow my User ID and Roaming Information to be transmitted.」(図3)と書かれている。日本語版では「同意する」という文にはなっていないのに、英語版ではそのように書かれている。
なお、取扱説明書にも、ユーザIDを通知した場合の危険性に関する説明はない。
ちなみに、ユーザIDを「通知しない」に設定すると、「オンライン料金案内」さえ使えなくなる(図5)。
これでは事実上の強制ではないか。
■ ソフトバンクモバイルでは暗証番号入力なしで課金されてしまう 
上の図2の画面にある、「暗証番号を入力することなく有料情報の登録(略)が行えます」という文が気になった。
iモードでもEZwebでも、私がこれまでに使ってきた経験からすると、携帯電話の利用料金と一緒に請求されるタイプの有料サービスの課金システムでは、料金が発生する際には必ず暗証番号の入力を必要とするようになっていたが、もしかして、ソフトバンクモバイルでは、そうでないのだろうか?
実際に試してみた。画面の流れは図6の通りで、「OK」ボタンを押したら即座に課金されてしまった。
これにはゾッとした。改めてこうやって画面の流れを見てみると、ワンクリック不当請求のサイトと同じ画面構成に見えてくる。「こりゃ、ワンクリック詐欺が流行るのも無理ないわ」と思った。
このことに関して、2004年4月24日の日記「モバイルコマースが架空請求詐欺を助長する」に書いていたのを思い出した。
そもそも、架空請求詐欺などというものがどうしてこれほどまでに増えてしまったのか。手口自体は昔からあったと聞くが、詳細は知らない。ここ数年で増えた要因はいろいろあるだろうが、人々が騙されやすくなってきたことが最大の要因ではなかろうか。
架空請求では、「有料サイトの利用料金」が未納だという理由で請求をすることが多い。5年くらい前であれば、「有料サイト」などと言っても、一般の人たちには意味すら理解できなかっただろう。今では、国民の大半が携帯電話を持ち、多くの人たちが着メロダウンロードなどの有料サービスを利用している。
5年前に架空請求詐欺をしようとすれば、何の利用料金を請求するだろうか。「電気代が未納です」という請求に騙される人はそういないだろうし、「指輪のご購入代金が未納です」と言われても、買っていない人は買っていないことをはっきりと認識できるだろう。
それが、ここ数年で情報課金サービスの利用が消費者に広く普及し、また、サービスの提供が、一部の有名大手事業者に限らず、有象無象の事業者によっても行われるという、「自由なネットビジネス社会」が訪れたことによって、買ったのか買っていないのかを消費者がはっきり認識しない世の中になってしまった。「有料サイトの利用料金」と言われれば、「もしかすると利用したかもしれない」と思ってしまうわけだ。
インターネットでの情報課金や購買契約は、携帯電話に限らず、古くからパソコンでも行われてきた。しかし、パソコンユーザが架空請求に騙されるということはあまりなかったように思う。
パソコンの場合、購買契約にあたって、自らの意思でクレジットカード番号を送信するか、物を買う場合は送付先の住所を送信することになる。何かを入力するという積極的な意思が働かない限り契約が成立しないというのが普通だ。
それに対して携帯電話のサービスはどうか。ボタンを押すだけである。情報課金では、暗証番号を入れるだけですぐに利用できる。支払いは電話会社が代行してくれるので、カード番号や住所などを自ら入れることはない。自分が誰であるかを入力する必要はない。電話番号の入力はしないし、氏名やユーザ名の入力もしない。これはパソコンでは実現できないことである。携帯電話でこそ可能なことである。
なぜそれが可能かというと、携帯電話会社からサービス提供者のサーバに対して、アクセス者のサブスクライバIDが暗黙的に送信されているからだ。iモードの場合では、サブスクライバIDは「公式サイト」のみに送信されている。
こうした「利便性」は、携帯電話だからこそ求められるものであろう。契約にあたってできるだけ文字を打ち込みたくないからだ。
しかし、そういう、寝転びながらできるような契約行為に消費者が慣らされてしまった結果、架空請求詐欺に騙されやすい人々を大量に生み出してしまったのではないだろうか。
モバイルコマースが架空請求詐欺を助長する, 2004年4月24日の日記
このときは「暗証番号を入れるだけですぐに利用できる」と書いていたが、ソフトバンクモバイルでは、さらに、その暗証番号入力さえ省略してしまっている。正規サイトでこういう使い方に慣らされていく消費者は、どんどん騙されやすくなっていく。
カード番号の入力や暗証番号の入力という、ユーザの積極的な行動が要求されるのが売買契約において当然に必要とされるのが常識として確立した社会であれば、消費者は、「カード番号を入れたら課金される」「暗証番号を入れたら課金される」と認識できるはずだ。それらの情報は他人に教えてはならないものという認識とちょうど対応するからだ。
ケータイWebはそうした常識まで取っ払う。簡単操作で契約させることばかりを優先し、知的弱者から搾取していく。
■ 出鱈目なURLで運営されているケータイWebの実態 
上の図6の「dwango.jp」会員登録の画面で、「この画面のURLはどうなっているのだろう?」と思い、URLを確認してみた。
私の買った機種「816SH」では、Webブラウザの「メニュー」に「URL入力」という機能があり、これを選択することで、現在のURLを表示できるようである。
図7は、「dwango.jp」の会員登録画面のURLを確認した様子である。
これには目が点になった。「dwango.jp」というくらいだから「dwango.jp」ドメインにあるのかと思いきや、よりによって「b.nu」というニウエ島のドメインにあった。
ドワンゴスタッフの悪趣味ぶりにも辟易するが、誰もこれを気にしていない様子であることが恐ろしい。
私はこのときは、Yahoo!ケータイのトップ画面から公式メニューらしきものを辿って「dwango.jp」のサイトを訪れたので、まあ、本物サイトだろうと思われるところだが、最近は検索でたどり着いて使うというのも普通だろう。検索でたどり着いた「dwango.jp」のサイトで、誰もURLを確認せずに使っているということだろう。(Yahoo!検索からたどり着いた「dwango.jp」のトップ画面のURLも http://v-cd.b.nu//jskycmi/...... と、ニウエ島ドメインにある。)
「ケータイWebでもアドレスバーを表示するべきである」ことは、これまでに何度となく口を酸っぱくして各方面に言ってきたが、コンテンツ業者側にこういう実態があるせいで、キャリアも下手にアドレス表示するわけにもいかないのかもしれない。そもそもコンテンツ業者がこういう安易なドメインを使ってしまうようになったのは、ケータイWebにアドレスバーがなかったから(コンテンツ業者も気にしない)なわけで、愚かなデッドロック状態だ。
ところで、上の図7で私の画面のURLを一部墨塗りしているのは、ここに認証キーとして働いてるかのように見える文字列が含まれていて、公開するのは危なそうだったからだ。
このURLの中にある「jskycmi」という文字列が気になった。他のサイトでもしばしばこの文字列がURLに含まれているようだ。「jskycmi」でググってみたところ、大丈夫なのかと心配になるようなページがたくさんヒットした。
どうやら、Yahoo!ケータイの利用者が、自分のブラウザに表示されたURLを、掲示板などに書き込んでしまっているようだ。WASForumコンファレンス2008で耳にした話(ユーザがURLを貼る)は、こういうことなのだろう。
検索結果のひとつに、「サーバ装置」(特開2006-67323)」というボーダフォン株式会社が出願人の特許情報がヒットした。
【課題】サービスを提供する過程において表示されたURL情報を元にした不正なアクセスを防止する。
【解決手段】有料コンテンツの取得要求に先立つ移動端末の有料コンテンツの購入同意に対するレスポンスにユーザチェックフラグ、Jskycmi生成時刻、UIDをセットする。有料コンテンツの取得要求のHTTPリクエストを受けた際に、ユーザチェックフラグがONか判定し、ONと判定された際に、Jskycmi生成時刻が有効期限内か判定すると共に、UIDが一致するか判定する。この判定結果がOKの場合に有料コンテンツの取得要求のHTTPリクエストをCPに送出して、有料コンテンツを取得する。
「サーバ装置」, 特願2004−248605, 特開2006-67323
これは興味深い。そのうち読んでみたい。
■ 7月27日の日記に追記 
7月27日の日記の内容に対して、以前にお目にかかったことのあるソフトバンクモバイル(旧ジェイフォン)の方からメールで指摘を頂いた。
7月27日の日記では、携帯電話事業者各社が「IPアドレス帯域」と称して公表している情報について、https:// での閲覧方法を用意しておらず危険である旨を示したが、ソフトバンクモバイルについては、今年4月に開発者向け情報のページをリニューアルしたのだそうで、以下のURLに移転しており、そちらでは https:// での閲覧も可能だとのこと*1。
- https://creation.mb.softbank.jp/web/web_ip.html
- https://creation.mb.softbank.jp/xseries/xseries_ip.html
また、これらのページにおいて、注意書きの表現を改めているとのこと。それ以上の説明は受けていないので定かではないが、おそらく、以下の部分のことだと思う。
PCサイトブラウザにて利用するIPアドレス帯域からは、Xシリーズ端末(Internet Explorer)からもアクセスされます。
ゲートウェイのIPアドレス帯域について, ソフトバンクモバイル
Internet ExplorerからのゲートウェイIPアドレス帯域からはXシリーズ以外の端末(PCサイトブラウザ対応機)からもアクセスされます。
XシリーズにおけるIPアドレス帯域について, ソフトバンクモバイル
いまいち意味がわかりにくい。こんな説明で、巷のケータイWeb開発者らが理解できるのか?
これは、つまり、Internet ExplorerからアクセスするときのIPアドレスは、「PCサイトブラウザにて利用するIPアドレス帯域」または「XシリーズにおけるIPアドレス帯域」となるはずで「Yahoo!ケータイにて利用するIPアドレス帯域」とはならない(だから、ユーザIDを「認証」に使う場合は、「Yahoo!ケータイにて利用するIPアドレス帯域」にアクセス制限すればよい)と言いたいのだろうか? 私は知らない。
「本IPアドレス帯域以外からソフトバンク携帯電話のアクセスがない事を保証するものではありません。」という注意書きをしていることの真意についても、そのメールでご指摘頂いたが、そういうことは公式に公表してもらいたいことであって、私が代弁することじゃないので、ここでは割愛する。
*1 それならば、古いページは削除するべきだろう。
ソフトバンクの携帯利用したことないから知らないんだけど
ユーザはこういうの気づかないもんなのかな
ありえないな
- はてなブックマークコメント ×27 : 15, 9, 2, 1 (2008-08-04)
- はてなブックマーク ×341 : 172, 98, 18, 11, 8, 5, 5, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-08-04)
- はてなRSS ×26 : 4, 3, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-08-04)
- グーグル ×279 : 77, 67, 27, 20, 15, 14, 5, 4, 4, 3, 3, 3, 3, 3, 3, 2, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-08-04)
- Bloglines ×17 : 4, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-08-04)
- http://soft.is.env.kitakyu-u.ac.jp/freshreader/feedshowcat.p... ×4 (2008-08-04)
- labs.ceek.jp/hbnews/ ×21 : 13, 7, 1 (2008-08-04)
- http://reader.livedoor.com/reader/ ×122 (2008-08-04)
- http://www.netvibes.com/ ×4 (2008-08-04)
- jskycmi ×2