赤の他人が普通に銀行口座をつくったら、自分の成りすましだ!と大騒ぎするオトナが約一名の巻

どうやら昨日今日はネット上のおかしな話によくいきあたる。なんでだろう。そういう日なのかな。

「なりすまし」で口座を開設できる銀行 - 風見鶏の目 (2010/2/14)

セブン銀行:
同姓同名の人がメールアドレスを間違って入力した可能性がある。このような事例は過去にも何件かあった。
私:
ドメイン名を間違えてなければ「@gmail.com」の仕組み上、そのようなことはないと思うが、そうだとしても貴行はフリーメールでも口座開設が可能なのか。「@gmail.com」はだれでも無料でとれるメールアドレスである。

ドメイン名を間違えてなければ仕組み上そのようなことはないだの、フリーメールがダメだの、まるで意味不明を言う勘違いクレーマー。 「gmailに詳しいオレ様にそんな言い訳は通用せんぞ」と。しかし「じゃあgmailじゃなかったらどうなるか?」って考える脳力はまるでないようである。

さて、筆者の知り合いににスズキイチロー君っていうのがいる(マジ)んだが、 彼のメールアドレスが suzukii@example.com だとしよう。 彼が、セブン銀行の新規口座開設のWeb上での申し込み画面で住所氏名とメールアドレスを入力したとする。

うえの画像をよく見て欲しい。 メールアドレスを間違って入力してしまっているよね(suzukiiがsuzukkiになってる)。 この程度の間違いは誰でもやらかすだろう。

そして、セブン銀行のこの画面はこのあと、申込書の請求完了画面まで普通に遷移できてしまう。あとは、セブン銀行の画面上の絵のとおりだ。

「お客様情報が印字済み(たぶん住所氏名が印字済み)」の申込書が郵送で届くのがポイント。 仮に成りすましを謀るとすると、郵送で届いた申込書をその人の自宅のポストから奪う必要がある。(奪われたんですか?>元記事の人。やりとりからするとそうは見えませんが。) もちろんこの「ポストからの書類窃盗作戦」を防ぐために最近では書留やら配達記録郵便やらが使われるのが主流である。

私設私書箱と、そこを住所とした本人確認書類の偽造とを組み合わせればセブン銀行の口座を作れてしまうとか言っておりますが、それ言い出したらセブン銀行だけではなくてネット/リアル問わずほぼ全ての銀行で同じことが言えてしまう。

なお、セブン銀行の申込画面のメールアドレスの入力のさせかたが、現代のWebシステム設計からするとかなり遅れているという欠点はあるにはある。

まとめるよ。このケースは、セブン銀行の口座開設申し込み画面はメールアドレスの入力間違いにやや弱いね、というだけであって他人に成りすましての銀行口座の不正取得という犯罪とはまったく関係が無い。

  1. スズキイチローさんがセブン銀行の口座開設の画面を使って申込書を取り寄せた。 そのときに画面上でメールアドレスを入力し間違えた。suzukii@example.comのはずのところをsuzukki@example.comと入力した。でも住所氏名は間違えなかったから、後日、口座開設申込書がちゃんと郵送されてきた。
  2. しかもその入力し間違えたsuzukki@example.comというアドレスは実在していて、よりによって、googleサービスに詳しいことを自負してブログも書いちゃう思い込みの激しい勘違いしがちなライターさんだった。
  3. 所定の手続きを経てスズキイチローさんは口座を開設した。そんでセブン銀行のネットバンキング機能にアクセスしていろいろ確認したり、イトーヨーカドーでお得するためにポイントサービスの登録をしたりした。この段階でもまだメールアドレスの間違いには気づかなかった。
  4. 一番最初の段階で間違って書いてしまっていたメールアドレスの本来の持ち主(同姓同名のスズキイチローさんかあるいはスズキイチバンさんかはどうでもいい)のPC画面上に、次のようなメールが届いて本人は「???」と思った。

    「なりすまし」で口座を開設できる銀行 - 風見鶏の目 (2010/2/14)

    今日の昼間、Gmail宛に下記のようなメールが届いていた。右側はメールの送信時間である。
    ・リモートバンキングが利用できるようになりました (12:07)
    ・ポイントサービスの登録を受付けました (12:18)
    ・通知メールの受信設定を変更しました (12:52)
    ・お取引明細表郵送サービスを変更しました (12:53)

というわけで、Googleのサービスにとっても詳しいこちらのライターさんはとっととこの記事をどうにかしないと実はとっても恥ずかしいと思います。

別に力説するほどのことじゃないんだけどさ、でもね、やっぱりこういうのは定期的に取り上げたほうがいいと思うんだ。

2010年3月13日 | Permalink | Comments [0] | Trackbacks [0]

誰も見てないんだろうかほんと。(myRakutenの件)

ほんの1時間くらい前に初めて知った。この件。 →楽天はニセ脆弱性を放置しないで欲しい(2010-03-07)

正直あんましこの件にコメントしたいと思わない。情報不足過ぎるから。 結論言うと上の増田を書いた人に同意で、BEWという人は、「全楽天ユーザーが今すぐ」とかそこまで言いたいんなら、問題の現象がプロキシサーバを通すような環境で起きたコトなのかそうでないのかYes?No?くらい言及すべき。質問の意味がわからないならわかるようになってからまた来てね以上終了。

ほんとに結論は以上終了なんだけどさ、でも、なんだかちょっとヘンな風にガックシ来たことがあるからこれを書いてるんだ。下を見てほしい。

こんなにわかりやすい食い違い、ここまで来て、なんで、まだ誰もツッコんでないの? もう最初の記事が出てから2ヶ月近くたってる。いままでツイッターだのブクマだのでうだうだ言ってるやつらはなに見てたの? (誰かツッコみ済みだったらすまん、ツイートやブクマのコメント群やその他もろもろをチョロチョロと「会員」とか「ゴールド」みたいな単語でCTRL+Fしただけなんだ)

もしかして、見もしないで騒いでるの?それはガキのやることだぜ。 騒ぎたいだけのやつが相手にされなくて当然。

上の青い矢印の部分の状態ってまず笑う所であり、かつ、この問題(らしきもの)に関するヒントでもあるよね?

とは言っても、下の部分はpoint.rakuten.co.jpから情報来てるのね、じゃあmy.rakuten.co.jpから来る情報となにかが食い違ってこんなことになってるんだろうね、*.jsファイルのsrc指定で、たぶんそのjsファイルのファイルシステム上の更新日時なのであろうepoch timeをつけてブラウザが自分で持ってる古いキャッシュを読むのを防ぐ措置のうちもらしがあるように(ソースではそう)見えるね、いやそこはpointとmyとでサーバ違うからpoint側の*.jsのURLに対してはファイルタイムスタンプのQUERY_STRINGあて作戦が取れないからしょうがないんだろうね、いずれにせよ名前の部分はjsじゃなくてmyサーバ上から直接動的に来てるみたいだからあんまし関係なさそうだよね、一応Cache-Controlヘッダとか見ようか、、、うんそんなヘンでもないよね(超ナナメ見なので見落としたらスマン)、ってところまでしかわからないけどさ。ほんといま超ナナメ読みしただけ。

外部から調べれることなんて限られてるしましてや再現性ないんならこの現象が起きたLANにある(のかもしれない)低予算長期運用誰も面倒みてない古めのプロキシサーバ(とそのキャッシュ)を疑うだけだけどね結局。

「気がついたオレすげえだろ」とか言いたいんじゃないんだホント。実際オレだって勘違いや見落としは日常茶飯事だしね。でも、

  1. この件は、Webサイト(Webアプリ)の話で、かつ、個人情報が心配、とかいう話だ。
  2. myrakutenのトップページの話かなってことはコトの発端の記事にデカデカとのってるスクリーンショット見れば誰でもわかる。
  3. その個人情報ってつまり「XXさんこんにちは」とかいうよくある文字列が表示されているあたりだろう、ということも誰にでも推測できる。
  4. じゃあせめてその周辺ぐらい、「見よう」よ。

見てるんだったら絶対誰かがつっこんでwwとか言ってるはずのところに誰もつっこんでない。ってことは誰も見てないんじゃないの?と考える俺自身がなにかおかしいなのだろうかいやマジで。 (画像アップした本人はなおさらのことだけどこれに気づいててあえて言わないでいるとかいうんならそれについては話は別)

もしかして、みなさんのノートPCとか小さい画面で見てるからこんな感じになってる?

もしかしてそんな状態で「個人情報が!」なんて騒ぐのか? それこそ「なんも見てない」じゃん!だって見えねえんだもん(笑)。 言い訳無用、元記事では画像ワンクリックで picasaを見れるようになってるし。(もちろん画像アップした本人はなおさらのことだけどこれに気づいててあえて言わないでいるとかいうんなら話は別)

ソフト開発の現場でクライアントから出る報告って、例えばのはなし、こういうのとか(開発現場じゃないし例がちょと極端だけど)、いやホント、意外と多いんだ。こっちはプロだからもう慣れっ子だけどさ。でも疲れてるときにこういうのやられると正直ゲンナリすることがある。

コトの発端の人もツイッターでワイワイやってる人ブクマしてる人も、みんなちゃんと「見て」から言ってる?これって見る人の技術力が云々のケースじゃない。 大騒ぎする/したいんなら、その前に、見ようよ。でなきゃなんのために騒いでんだかわかりゃしない。「騒ぎ」の本質はドコ?

これ全部見ろとは言わないしモチロン俺も全部見てない(笑)。でも問題のブログ記事の文章上で直接見れるやつくらい、その、「個人情報と呼ばれるものが表示されているであろうあたり」だけでも、見よう。騒ぐ前に見るよね普通?オトナとして。

途中でちょっと話がとんじゃってすまない。若干おかしな話の展開になってる気もするしなんだか俺自身にツッコミどころが一杯ありそうな気にすらなってきたけど、もういいや。要するに眠いんだ。おやすみ。

2010年3月13日 | Permalink | Comments [0] | Trackbacks [0]

なんにもわかってないセルカンの兄弟子がもうどうにもとまらない

セルカンネタはもう少し間を置いて書くつもりだったのだが話題のアノ方があまりにもアレゲなので。

「彼(彼女)を否定することは、彼を信じてきた今までの自分と自分の行動を否定することだ」

これが、オオカミ少年あるいは詐欺師にかかわってしまった人間の心のなかで自身の正気を保つために無意識に芽生えてしまう感情であり、人間として正常な免疫反応である。

「突然、自分自身とその過去を否定しなければならない事態に陥いる」 言葉にするとピンとこないが、これはきっと、めちゃくちゃキツいことなのだろうと思う。 極端すぎるたとえだけど「助産院で入浴時に赤ちゃんを取り違えて15年後に発覚」みたいな。想像を絶するような感情が渦巻くであろう。 そうでなくとも「愛した彼は結婚詐欺師or妻子もちでした」なんてのは定番である。 ある者はただ嘆く。ある者はウソを指摘してくれた人を恨むという曲った行動に出る。ある者はかろうじて正気を保ちつつ、件に関係する自分の行動のうちのどの部分を肯定して心のよりどころとし、どの部分を否定して諦めるべきかを慎重に選別しはじめる。

そしてある者はあえてオオカミ少年と道をともにする。美しき友情ではないか。毒を食らわば皿までも作戦とも言えるけど。

しかし、美しく熱い友情は大いに結構なのだが熱すぎて言ってはならないことを口走るおこちゃまと、ついでに(本人には迷惑かも知らんが)2スレ781さんの名誉のために、もう少しdisっておこうか。

人工衛星のクルーだったのは間違いないのだからとか口走っておりますがまさか有人衛星(宇宙ステーションみたいな)のことじゃないだろうから通信衛星や気象衛星のような一般の人工衛星の開発or運用orそれを用いた研究に携わっていたのは本当なのだ!と言いたいのだろうがいやいやそんなことをウソだともガチだとも誰も言っておらず宇宙服着てるこの写真がプププなんですよってことであってウソの検証における論点のデザインに前衛芸術すら感じます。「トルコ空軍の大佐殿兵役のために帰国」という俳句のように短いフレーズにこめられたツッコミどころの広がりも確かに宇宙規模です。そもそもトルコで無事にいられるかというご心配はもっともです。ちょっと違う意味だけどな。

そもそも脅しみたいなメールをよこしてsorae.jpの記事を取り下げさせる魔性の女マネージャーとかワタシも初めて知って驚いているんですっ!みたいなウソつきカマトトとか名を名乗らぬ者はすべて一律に卑怯者の野次馬であるぞいいいいいいいっさい譲らぬからそこになおれ手打ちにしてくれるわみたいな暑苦しいサムライスピリッツが実は周囲からすると地下道で異臭を放つホームレスのような空気感なんだけど本人には言わないでおいたほうがよさげなグッドデザイン賞審査委員長(元)とか無関係の一般ピープルによるまったく単なる独り言に対していきなり恫喝する意味不明な大学教授とかとかが世にはびこっているからこそ「@drkazuo 単なる論戦なら名乗ってやりますが,こんなこと実名で出来ませんよ。逆恨みして刺されたらどうするんです? そのために公益通報者保護法の制定などが進んでいるのではないですか?」という清濁併せ持つ社会人による至極まっとうなポジショニングとそれに沿った世の流れにつながっているのだという動かしようもない現実としてのバカの壁の前に立ちつくしたまま100%無駄に振り上げてしまった拳の下ろしどころに困っちゃったよとりあえずボク大学人だけどよくわかんなーいテヘでお茶を濁す正眼の構え(自称)こそが主観「だけ」で生きる残念な社会人の一つの生態と言えよう。そこ、リンク大杉とか野暮言うな。

しかしまあ札幌の人も学長就任を全力でドタキャンしてよかったね。もしかしたらいまごろ阿久根市の市長みたいなグチャグチャな展開になってたかもしれないと思う。 それからいちいちジョンアレン先生ジョンアレン先生言ってますが現実問題としてJohn.P.Allen氏の知名度は低いから一般ピープルには「パパがパパが」としか聞こえてないと思うんだ残念だけど。バイオスフィア2なら覚えてる人多いかもな。

大きく言えば公益通報者保護法、個別で言えば東京大学の通報窓口、こうしたいわゆる証人保護プログラムってものは、これだけ言われてもまだなお無関係な人にすら無意味な恫喝を繰り返すおかしな大学人のために存在するという現実とその本質にまるで気づいてない張本人が大学人ですとか口走っちゃってるのがちゃんちゃらおかしくってもうおなか痛い。そもそも誰もお前の経験なんて聞いてねえどころか2スレ781さんみたいな経験は誰もしたくはないけど誰かがやらなきゃならないからその制度と窓口ってものがあるんだと何度いえばわかるのかしらねぇ奥様。

てな感じでおおざっぱな下書きしたところで一夜明けたら、 ママさん物理学者に諭される還暦すぎの大学教授という実に心温まるアングルが新たに生まれているではないか。さすがに展開速すぎてついていけないのであとはもう2sure781 vs drkazuo Round 2を見てね。

see also:

2010年3月11日 | Permalink | Comments [0] | Trackbacks [0]

NTTドコモ OpenID仕様に基づいたユーザー認証基盤を公開

まだ細かい仕様とか読み込んでないんだけど、 ドコモにしては画期的。他のキャリアも追随してくれることを願う。

ケータイに限らずネット全般におけるユーザー確認/ユーザー認証の基盤整備はいまはかなり脆弱なんだが、少しずつ前進と言えるようになったのだろうかとかいうややこしい話はまたこんど。

追記: 認証が成功した場合にCPサイトはiモードID(従来からあったやつ)を得られるようになってる。 これってどうなのよ?うーむ。

追記: あー、でも、「ユーザのOP-Local Identifierは単一ではなく、RP(realm)毎で異なったものが払い出されます、複数のRP間で共有することはできませんのでご注意ください。」ってことにちゃんとなっている(そりゃあたりまえっちゃ当たり前だが)。 iモードIDも取れるよ、というのは今までiモードIDに頼ってたWebサイトに対する救済策(言葉が適当かわからないけど)と言えるのだろうか。

2010年3月 9日 | Permalink | Comments [0] | Trackbacks [0]

未確認宇宙飛行士セルカンの兄弟子が今すぐただちにツイッターするべきたった一言

さてさて、週刊ゲンダイもといWeb屋のネタ帳です。 セルカンカレッジ大阪(最終回)だが、 筆者としてはトンデモ文化人頂上決戦を上回るような展開を 期待したのだが、、、

さるさる日記 - Parrot Diary 2010-03-08

だって、こーんなに東京大学から発表があって、  あれは間違ってるんだ! 嘘だよ! ってたくさんの人が言ってて  なのに会場に行ったら、セルカン氏は何も悪いことしてないのに、突然東大から呼び出されて、大したミスでもないことでツライ目にあわされてる、って「おとぎ話」を信じちゃってる人がいるし、川崎先生は全面的にセルカン氏を擁護して、彼は悪くない、知識がある、東大は匿名の人間の言葉なんか信じるな、みたいなお話されるんだもーん。

 目の前で起こってると、どーにも無力感に襲われちゃって。
(中略)
くわしくは今は書かないけど、聞いてたあたしは何度も 「かわいそうな被害者セルカンと、彼を励ます会」なの? って感じました~。

予想通りというか予想に反してというか、やや暗い展開になったことがうかがえる。

注目の川崎教授のツイートはというと、セルカンに関する言及は少ないものの なんというか、相変わらずである。 まず、デザインとか建築とはまったく無関係(筆者もだが)の一般ピープルの方が、

Twitter / tatusi: セルカン事件、調べるば調べるほどおもろい。関係者には ...

セルカン事件、調べるば調べるほどおもろい。関係者には気の毒だが。 経歴業績詐欺は数あれどこれほど大掛かりな詐欺は聞いた事ない。 でも不謹慎ながら面白いわ。東大、JAXAもさることながら、セレブ達も滑稽。 坂本龍一、川崎和男、果ては、逢川七瀬まで巻き込んで、まるで吉本新喜劇みたいや!

と、一般ピープルとしては実に素直かつ平均的な感想をつぶやいた。 このツイートは特に@つき(つまり名指し)でのツイートでもなんでもない。 しかし察知した川崎教授は次のように@つきでツイート。

無意味かつズサンな恫喝がいわゆる厨の初期症状である。 本人も自覚症状を感じたのか1時間もたたずにあわてて削除。(なので上は画像キャプチャ) そしてその代わりにあがったツイートが、、、

Twitter / 川崎和男: @paf00703  You are A+h=0. ... 2010-03-08

@paf00703  You are A+h=0. maybe you can't solve this one.

「まるで吉本新喜劇みたいや!」っていうのにかけているのだろうか。 シュールさとしては削除したツイートとどっこいである。 いずれにせよ日本を代表する工業デザイナーさんであり還暦の大学教授であるところの 彼のハイセンスな喧嘩の美学は大いに参考にすべきであり、 これは池田信夫以来の逸材かもしれない。

さて、そろそろ本題に行こうか。毎度前置き長くてすまん。

川崎 和男 大阪大学大学院教授クンが今すぐただちにツイッターするべきたった一言。 それは、

「2スレ781君、教えてくれてありがとう

だよね。

もう少し補足しようか。

「2スレ781君、初めは暴言を浴びせるようなことをしてすまなかった。 そう昔でもない最近に一緒に仕事をした彼の正体がまさかそんなだとは思わなかったんだ。 君が精緻な証拠までそえて教えてくれなかったら、 広く報道された今でも自分は下らない風評とただ切り捨てていたかもしれない。 今後の彼と自分とのことはあくまで自分で考えるが、とにかく教えてくれて、ありがとう。」

こんな感じかな。140字(だっけ?)にまとめるのは自分でやるように。 おっと、公開ツイートなんてしたくない? さんざんボロクソなツイートしといて今更それってどんな美学?

さて、これは誰かも似たようなことを言っていたのだが、 セルカンの疑惑を解明すべく手間ヒマをかけた人間の原動力が、 嫉妬だの野次馬だのなんだのといったネガティブな動機だと思ったら大間違いだ。

そして、これはすでに筆者が何度も繰り返したフレーズなのだが、 虚言癖またはそれが詐欺師化した人間の正体とそのヤバさを 知ってしまった人物(代表例:2スレ781氏)は、 次のような状況に置かれることがよくある。

「知らぬが仏、で済ませられる限度を残念ながら超えてしまった場合に 仕方なく真相を告げたときの彼らの落胆とむなしさと怒りの一次窓口を なんで俺がやらなあかんのかと。」 (筆者の過去記事より)

その一次窓口の現場の当事者にあってその相手の立場に対する共感能力も無く、 あとからでも感謝の気持ちを周囲も含めて示すことももちろん無いデザイナーさんは、 さぞかしハイセンスなデザインを見せてくれるのだろう。 喧嘩士というのはそういうことなのだろうしね。 俺はそんなデザインのモノ使いたくないけど。

http://science6.2ch.net/test/read.cgi/rikei/1267944784/112 112 :Nanashi_et_al.:2010/03/08(月) 16:14:41
ようするに
「情が事実に、個人的主観が客観的事実に優先する」分野なんでしょ?
川崎和男氏のデザイン工学って分野は。
そんな分野の大物センセイが
「うーむコ奴はスゴイんじゃ!みなのもの、コヤツをワシと同列に敬え!」
と云っちゃったらもうそれで箔付けはおk
そんな分野には自浄作用はとても期待できないし、
今後も第2第3のセルカン事件が起きてしまうと思うんだけどなあ。
建築意匠系・デザイン系の内部からセルカンの「虚業」について告発が無かったことを、
もっと関係者は重く受け止めるべきだと思う。

俺もそう思うのだが、無理だと思う。 周囲をイエスマンで固めたバーチャルな環境で力強く生き抜いてほしいと思います。

see also:

2010年3月 8日 | Permalink | Comments [0] | Trackbacks [0]