2011年09月25日()<< 前の日記 | 次の日記 >>
この日の詳細

■1思わぬ高額課金を防ぐ有料サイトの利用制限[ケータイ] このエントリーをはてなブックマークに追加

子どもに携帯電話を持たせていたら、 「小学生の息子が、2カ月で9万円のパケット料(通信料)を請求された」「5歳の子供が10万円もの高額アイテムを購入した」[http://blog.livedoor.jp/dqnplus/archives/1576645.html] という様な トラブルが多発[http://www.kokusen.go.jp/news/data/n-20091216_2.html] しているようだ。
報告書[http://www.kokusen.go.jp/pdf/n-20091216_2.pdf] によると、
相談事例をみると、「テレビCM で『無料』と宣伝していたので、安心して子どもに使わせていたところ、高額な利用料を請求された」など、子どもの利用によるトラブルが目立つ。
利用料等を既に支払ったという相談は48 件あり、その 平均金額は約23万円 である。
という様な状況であり、事例を見ると、
【事例1】小学生の息子が無料ゲームをするために、私の携帯電話を貸して遊ばせた。 テレビで「無料」とCM をしていた し、息子も友人から無料ゲームだと紹介されたと聞いたので、お金がかからないと安心して利用させていた。しかし実際には、アバターのコンテンツ料として1回5千円かかり、 2ヶ月で約6万円もの請求書 が届き驚いた。
(相談受付年月:2009年9月、相談者:愛媛県、30歳代、女性)

【事例2】 テレビで無料とCM をしているゲームサイトに小学校低学年の娘も興味を示したので、無料なら遊ばせてもいいだろうと思い、母親である私の携帯電話で私の名前で娘のために登録をした。娘は10日ほど遊び、1つ5,000円のアイテムを多数購入していた。 娘は本当のお金が必要だとは思わず、アイテムも無料だと思って遊んでいた。 しかし、後日 携帯電話会社から約10万円もの請求書 が届いた。
(相談受付年月:2009年9月、相談者:東京都、30歳代、女性)

【事例3】小学生の息子には、携帯電話の使用は家族へのメールと電話のみに制限するようにしていたが、 テレビで無料というCMを見て、息子が無料でゲームができると思い込み、 勝手にサイトにアクセスしたようだ。後日2ヶ月合わせて9万円という高額なパケット通信費の請求書が届き驚いた。
(相談受付年月:2009年7月、相談者:長崎県、40歳代、女性)

【事例4】 無料で遊べるというゲームのCMをテレビで見て 孫が遊びたいと言うので、無料ならかまわないかと思い自分の携帯電話を使わせた。しかし、後日、携帯電話会社から 利用料金が3万円と高額な知らせがきた。パケット定額制には加入していない。 通信費がかかるなら無料を強調するようなCM はしないでほしい。
(相談受付年月:2009 年9 月、相談者:静岡県、60 歳代、男性)
という様に、「テレビCMで無料だと思って」「子どもに携帯電話を使わせたら」「高額な請求が来て驚いた」というパターンの様だ。
こういった事件を受けて、最近は、テレビCMでも「一部のコンテンツが有料であること」を表記してあるが、「無料」とアピールする姿勢は変わっていない。
子ども向け携帯でアクセスできるコンテンツを規制するサービスは色々提供されているが、こういうサービスでは、「親や祖父母の携帯を子どもが使って高額課金」 *1 というトラブルには対応できない様だ。
思わぬ高額な情報料の請求を防ぐために、情報料が発生するコンテンツのアクセスを禁止する方法 を、遅ればせながら調べてまとめてみた。
子ども向けのコンテンツフィルターでは無く、親の携帯電話向きの設定 だ。有料サイトを利用する気持ちが無ければ、予め設定しておくことによって、子どもに携帯を一時的に使わせても、上に挙げたような事件が防止できるだろうし、 うっかり有料コンテンツを買ってしまうことも防げる はずだ。

【NTT DoCoMo】iモード情報料リミット[http://www.nttdocomo.co.jp/charge/introduction/structure/imode/limit/index.html]:

NTT DoCoMoには、「iモード情報料リミット」というサービスがあり、iモード情報料の利用上限額を予め、0円〜10万円(10段階)に設定することができる。

【au】有料サイト利用制限[http://cs119.kddi.com/faq/1032/app/servlet/relatedqa?QID=000492]:

利用に際し料金の発生するサイトへの接続が制限されるサービス。

【SoftBank】今のところなし:

Webサイトを探したが見つからなかったので、サポートに問い合わせてみた。
keikuma:[http://twitter.com/#!/keikuma/status/117404230024835073] @SBCare こんにちは。SBM携帯電話で、有料コンテンツの購入を制限するサービスを教えてください。他社サービスで恐縮ですが、DoCoMoの「iモード情報料リミット」、auの「有料サイト利用制限」に相当するサービスを探しています。
SBCare:[http://twitter.com/#!/SBCare/status/117418221317013505] @keikuma こんにちは。SBCareの西です。お問い合わせいただきありがとうございます。確認いたしましたところ「有料コンテンツの購入を制限するサービス」はございませんでした。ご希望のサービスをご案内することが出来ず申し訳ございません。(続く)
SBCare:[http://twitter.com/#!/SBCare/status/117418236840124416] @keikuma (続き)他のサービスで何か対応できないか確認をさせていただきたいのですが、コンテンツの利用を制限したいのは、keikumaさまでしょうか?もしくはご家族さまですか?(その場合ご契約者さまはkeikumaさまか) お時間のある際にツイートをお待ちしております。
keikuma:[http://twitter.com/#!/keikuma/status/117421016984207360] @SBCare 私自身ではなく、例えば、 祖父が携帯を孫に貸したら、有料コンテンツを買っていて思わぬ高額課金といった事態を防ぐための、適当なサービスを知りたいのです。 契約者である祖父が申し込むという前提でご検討ください。
SBCare:[http://twitter.com/#!/SBCare/status/117430806082887680] @keikuma 西です。ご連絡ありがとうございます。ご家族さまがご利用をされる場合、3G携帯であれば「ウェブ利用制限」というサービス(無料)にご加入をしていただくことをお勧めいたします。有料コンテンツに加入する際、必ず4桁の暗証番号のご入力が必要となりますので、(続く)
SBCare:[http://twitter.com/#!/SBCare/status/117430836177014784] @keikuma (続き)暗証番号がわからないと、有料コンテンツの入手ができません。下記URLのソフトバンクHPに掲載がございますので、お時間があるときにご覧くださいませ。bit.ly/pxW61L ただ、3G携帯以外の場合はご案内が異なりますので、(続く)
SBCare:[http://twitter.com/#!/SBCare/status/117430855319826432] @keikuma (続き)その際は、お手数ですがご連絡をお願いいたします。
keikuma:[http://twitter.com/#!/keikuma/status/117435100416835584] @SBCare ありがとうございます。「ウェブ安心サービス」の説明を拝見したところ、無料コンテンツもフィルタリングをされてしまう様に思えますが、 無料コンテンツは一切制限せずに、有料サービスのみ暗証番号を要求する様に設定できますでしょうか。常時子どもに持たせるわけでは無いのです。
SBCare:[http://twitter.com/#!/SBCare/status/117442125615996928] @keikuma 西です。ご返信ありがとうございます。「ウェブ安心サービス」では、アクセス制限する際の条件がございます。 制限の条件に合致した場合は、コンテンツの無料・有料に問わず制限がかかるため、無料コンテンツのみ一切制限をしないという設定はございません。 (続く)
SBCare:[http://twitter.com/#!/SBCare/status/117442148663697408] @keikuma (続き)せっかくお問い合わせいただきましたのに、ご希望にそう回答ができず申し訳ございません。
ということで、有料コンテンツのみを制限することはできない様だ。
コンテンツに制限が掛かっても良いのであれば、 ウェブ安心サービス[http://mb.softbank.jp/mb/support/3G/filtering/] の適用を考えても良いだろう。

この記事を読む方だったら…:

まとめてみたけれども、このページを読む方だったら、間違って高額の課金を発生させてしまう事はないかもしれない。。
問題は、 携帯は通話と家族とのメールに使うのが主 で、ウェブはせいぜい、ニュースや天気予報を確認する位の用途にしか使っておらず、 「情報料」という物がある事すら知らない人たち だ。
国民生活センターの事例を見ると、 「被害」に遭っているのは主にそういう人たちが中心 である様に思う。

有料コンテンツを使いたい人がオプトインで:

そもそも、 「情報料」を払ったコンテンツを使用したい利用者だけが、オプションで情報料を支払う契約になっていれば、こういう問題は発生しない のだが、現状は携帯の契約時に、ほぼ自動的に情報料を支払う契約になってしまっている。
さらに、上記の様な 有料コンテンツによる課金を確実に防ぐサービスを契約時に勧められることは、まず無い 様だ。
有料コンテンツを見る積りがなければ、上にまとめたサービスが役に立つだろうし、祖父母や両親がそうだったら、勧めると良いと思う。
*1: 「親のクレジットカードを盗んできた子供をパチンコ中毒にしてクレジットカードでがんがんパチンコをさせるビジネスモデル」とか、ひどいことを言った人がいたが。

■ 関連記事

詳細はこの日の詳細から

2010年09月25日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(21) - 三菱電機ISが考える「強固なセキュリティ」[http://www.nantoka.com/~kei/diary/?20100923S1][LibraHack][電子自治体][図書館][セキュリティ] このエントリーをはてなブックマークに追加

3カ国別の回答割合(F-Secureより), パスワードの使い回しは大きなリスク、偽の確認メールで聞き出す手口も以前、 Web サービスの開発者は、「多くの利用者は、どのサービスにもおんなじパスワードを使ってる。」って覚悟をもってなきゃいけないと思う。[http://www.nantoka.com/~kei/diary/?20100619S1] という記事を書いた。
セキュリティ企業のF-Secureが、英国、ドイツ、スウェーデンで1500人のインターネット利用者を対象に実施した市場調査の、
回答者の約20%が同一のパスワードを使い回していた。
という結果から、サービス提供者としては、利用者が他のサービスと同じパスワードを使用している可能性も考慮すれば、利用者のパスワードを預かることには大きな責任があるという事を書いた。
万が一、 利用者の個人情報と共にパスワードが漏れる様な事があって、利用者が同じパスワードを他のサービスでも使用していれば、そのサービスも危険に晒される から、パスワードを認証に用いるサービスを作る時は、ハッシュなどの方法を用いて、 パスワードは決して復元できないような形で保存するのが、前世紀からの常識 になっている。
暗号化とハッシュ化ハッシュは暗号化とは異なり、いわば復元できない暗号化だ。暗号化した結果からは、たとえ暗号化に用いた鍵があっても、元のパスワードは復元できない。
パスワード確認の用途であれば、復元できる必要は無く、入力したパスワードを照合する際には、同じ鍵でハッシュ化してみて、ハッシュ化した結果が一致していることを確認すれば、パスワードが一致していたことを確認できる。
このあたり、
世界最高水準の暗号化・復号化技術「PowerMISTY」を採用し、個人情報は安心の暗号化。
と、「強固なセキュリティ」を主張するMELIL/CSがどの様に実装しているのか関心を持っていた。
しかしながら、応答時間やクッキーの扱いなどで外部から実装を推測できることと異なり、 利用者のパスワードという極めて重要な機微情報がどの様に扱われているかを外部から知る方法は無く、開発会社が「バッチリですから大丈夫ですよ」と主張したら、利用者はそれを信じるしかない のが実情である。
これが、民間企業の場合であれば、開発会社のミスであれ、その様な機微情報が漏洩すれば、自らの信用にも傷が付くから、採用時にその企業の責任において確認をすることが期待されるし、利用者はサービスを提供する企業の取り組みを見比べてサービスを選択することができるが、 行政サービスの場合は、利用者はサービス主体を選択できず、従って、信用して利用せざるを得ない構造になっている。
にも関わらず、極めてルーズな調達や受入検査を行っている自治体があることは、これまでに明らかになった通りだ。
MELIL/CSが、利用者のパスワードという極めて重要な機微情報をどの様に扱っているか を明らかにすることができれば、 MELIL/CSとこれを採用した図書館が、利用者の個人情報をどの程度「強固なセキュリティ」で保護しているか と、 三菱電機ISが考える「強固なセキュリティ」がどの様なものか が推察できるであろう。
念写されたcommon.aspそう考えて、何とかしてパスワード認証の仕組みを突き止める手掛かりが得られないかと念じ続けていたのだが、以前に 予言[http://twitter.com/keikuma/status/22588049466] した通り、 各地で杜撰なコピーを繰り返して展開[http://gutei.cocolog-nifty.com/hibikore/2010/09/mdis-af2c.html] していることが明らかになっていった。
それだけ杜撰な作業をしていれば、サーバで直接、ファイルを編集した挙句に作業ファイルを消し忘れる等という事が起こっても不思議ではないと気付いて、robots.txtや、明らかにされた消し忘れコンテンツをヒントに、それっぽいURLにアクセスしてみたところ、ついに左の図の様なファイルが表示された。念ずれば通ず。
「common.asp」という名前が示す通り、コメントによれば「共通定義・関数」であり、システム内で共通に使われるべき定義や関数が詰め込まれている *1 。 ここで表示されたファイルは、このcommon.aspファイルの修正作業をサーバ上で行って、作業ファイルを消し忘れたために、公開状態になっているものだろう。
パスワード関連の操作関数も存在した。
'///現行パスワード取得///
'処理概要:現在設定されているパスワードの取得を行う
function gfGetPass(ustrRcode) on error resume next Dim wobjDS, wstrSQL Dim waryData 'パスワード取得 wstrSQL = "SELECT * FROM WWWRIY " _ & " WHERE 利用者コード='" & gfSQL(gfZero(ustrRcode,10)) & "'" Set wobjDS = Session("OraDatabase").CreateDynaset(wstrSQL, &H4) '&H4=ReadOnly if err.Number <> 0 then exit function end if if wobjDS.eof then gfGetPass = "" else waryData = gfDeCode(wobjDS("DATA")) gfGetPass = waryData(13) 'パスワード end if Set wobjDS = Nothing end function
取得できてはいけない。 念のため、gfDeCodeも見ておこう。
'///復号化処理///
'処理概要:利用者情報を復号化して返す
function gfDeCode(ustrValue)
	on error resume next
	Dim wobjPM,waryData
	Dim waryDmyData(26)

	if not isNull(ustrValue) and trim(ustrValue)<>"" then
		Set wobjPM = Server.CreateObject("Power_Melil.Misty")
waryData = wobjPM.decode(ustrValue) 'デコード Set wobjPM = Nothing ' waryData = ustrValue 'デコード無し waryData = Split(waryData,"|") '利用者情報をパイプで区切って配列に格納 if UBound(waryData)=26 and Err.Number=0 then gfDeCode = waryData else gfDeCode = waryDmyData end if else gfDeCode = waryDmyData end if end function
世界最高水準の暗号化・復号化技術「PowerMISTY」 も、この様な間違った使い方をすれば、 なんちゃってセキュリティ と化してしまう。
この他、 利用者の電話番号、パスワード、メールアドレス、生年月日等の個人情報 も、同様に暗号化して保存されているが、暗号化・復号化に使用する 鍵はWebサーバ上に置いてあるので、Webサーバに侵入されれば「全部」盗まれる 仕様であった *2
三菱電機ISが考える「強固なセキュリティ」 というのは、ここで見たようなセキュリティのことを指すようだが、採用した自治体としては、利用者の個人情報を保護するに十分だと考えているのであろうか。
セキュリティインシデントは、起こる可能性があれば起こるものだが、 MELIL/CSを稼働させている自治体における個人情報漏洩事件。 実装によるガードがここで見たように、事実上機能せず、運用も自治体間で丸ごとファイルコピーを行うほど杜撰なものであるとすると、これは 明日にでも発覚してもおかしくはないと思う。
*1: この「共通定義・関数」にも大量のカスタマイズが加えられているところからすると、パッケージ化が破綻しているのは間違いない。
*2: しかも、そのWebサーバが、書き込み可能な状態で、Anonymous FTPサーバとして稼働していた実績もある。Webサーバへのアクセスがガードされているから大丈夫とは言えないだろう。

■ 関連記事

詳細はこの日の詳細から

2009年09月25日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 嫌煙権…?[http://amebabbs.ameba.jp/thread/b0YbfGT0HZYSdTaH2UIbBG/][book]次の記事 >> このエントリーをはてなブックマークに追加

というわけで、 を借りてきて読んでみた。
路上喫煙禁止地区でお巡りさんの前で歩きタバコはすごい。 別に捕まらないらしい。
タバコの火にぶつかってやけどするのは、周囲に対する注意が足りないかららしい。 徹底した主張だ。

■ 関連記事

■2 千円札コピー11枚、小6男児「自販機で試そうと」[http://www.yomiuri.co.jp/national/news/20090925-OYT1T01007.htm]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

以前、 午後プリンター購入、夜には偽札60枚使用[http://www.nantoka.com/~kei/diary/?20031004&to=200310047S6#T200310047S6] という アジャイル な偽札事件もありましたが、
千円札をカラーコピーして偽造し、雑貨店で使ったとして、香川県警は25日、県内の小学6年の男子児童(12)を通貨偽造、同行使の非行事実で補導した、と発表した。
技術が簡単に使えるようになるのに対して、教育が追いつかない問題の一つだ。
だからと言って、小学生にはプリンタを使わせないとか、ネットを使わせないとか言うのはきっと不幸な解決で、いずれは人類はこのジレンマを解決するのだと思う。
新しい時代の子どもたちは、文字を書けるようになるのと同じ頃に、ネットを使い始めて、それでも問題が起きない社会にいつか到達するのじゃないだろうか。今は、ただ急速な文明の発展の過渡期で混乱が生じていると。

■ 関連記事

■3 紙の温度[https://www.kaminoondo.co.jp/]<< 前の記事 このエントリーをはてなブックマークに追加

手漉き和紙 を専門に扱うお店。名古屋だったなそういえば。
インクジェットプリンターに使える和紙[https://www.kaminoondo.co.jp/goods/index/81/index.html] も売ってます。
よい子のみんなへたいせつなお知らせ:お札(かみのお金)や、お札に似ているものをプリンターやコピー機で印刷(いんさつ)することは、いけないことだよ。ぜったいに、しないようにしようね。

■ 関連記事

詳細はこの日の詳細から

2005年09月25日()<< 前の日記 | 次の日記 >>
この日の詳細

■1出張7日目[おしごと]次の記事 >> このエントリーをはてなブックマークに追加

一週間ですか。なんかあっと言う間だった。
朝から、仕事場に向かう途中、交差点に30人ほどの警官や私服警官が動員されていて、愛知万博最終日に誰か来るのかなと思っていたら、小泉首相だった様だ。 付近のビルの屋上まで点検したり大変だと思った。

■ 関連記事

■2 ディスプレイを汚す新種ウイルス 〜 連休明けに注意を[http://bogusnews.seesaa.net/article/7022734.html]<< 前の記事 このエントリーをはてなブックマークに追加

連休明けは確かにウイルスに注意が必要だ。おうちにノートパソコン連れて帰って、ウイルスと一緒に帰ってくる人が後を絶たない。
規則の様なマネジメント面でも取り組めるけども、検疫できる様な仕組みを考えてみるのは技術的にも興味深い。運用をラクにできない技術では意味がないと考えると、なかなか難しい。

この記事に頂いたコメント

Re: ディスプレイを汚す新種ウイルス 〜 連休明けに注意を by osho    2005/09/26 11:04
このウィルスは計算機ではなくて人間に感染するようですね(笑 この手の製品でありがち...

■ 関連記事

詳細はこの日の詳細から

2003年09月25日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1メモリンQ[おしごと]次の記事 >> このエントリーをはてなブックマークに追加

お仕事で必要になりそうなのでメモ

WinCVS で ssh を使う方法[http://www.sail.t.u-tokyo.ac.jp/~sane/wincvs/]:

sshアカウント作ってあげるだけで、Windowsの人もCVSで共同開発できますね。

Smarty[http://sunset.freespace.jp/smarty/]:

■ 関連記事

■2 東大の共用PC、マックに切り替え 来年3月から[http://www.asahi.com/national/update/0925/004.html][CLIP]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

うーん。
「ウィンドウズに比べて様々なソフトの導入がしやすく、不具合が起きても自分で直しやすい利点がある」
というのはどうなのでしょう。一台ずつやってまわるのは非常に大変なので、Windowsの場合、クライアント管理ソフトが色々あって、その辺りで解決するのだけれども、マックにもそういうものがあるんでしょうか。

■ 関連記事

■3 MS、トロン陣営と提携 「独自路線」から転換?[http://www.asahi.com/business/update/0925/079.html][CLIP]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■4 顧客対応ガイドラインの研究[http://babu.com/~dachs/index3.htm][CLIP]<< 前の記事 このエントリーをはてなブックマークに追加

苦情処理から悪質クレーマー対策まで。素晴らしくまとまったコンテンツです。

■ 関連記事

詳細はこの日の詳細から

2002年09月25日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

0911 のぞみ5号:

0917 駅弁:

0921 笹の葉すし:

0923 名古屋名物きしめん:

0933 のぞみ5号:

1252 博多到着:

1256 かもめ21号:

1638 NetSolからのエアメール:

山ほど届いた。中身はドメイン管理用のパスワードなんだけれども、そのパスワードを適用されるドメイン名もアカウントも書いてなくて、どこの分かどうやっても分からないのが2通ほど。
必要になるまで大切に保存。
NetSolからのエアメール
長崎県諌早市久山町 のあたり by MIS2[http://www.kokono.net/] [ MapFan[http://www.mapfan.com/index.cgi?MAP=E130.0.48.74N32.50.0.25&ZM=7] | Mapion[http://www.mapion.co.jp/front/Front?el=130/00/48.740&scl=10000&pnf=1&uc=1&grp=all&nl=32/50/0.250&size=500,500] | 国土地理院[http://mapbrowse.gsi.go.jp/cgi-bin/nph-blsearch.cgi?b=325012.28&l=1300040.56] | 日本測地系[http://mapbrowse.gsi.go.jp/cgi-bin/nph-blsearch.cgi?b=32500.25&l=1300048.74] | MIS2[http://www.kokono.net/index.cgi?NL=32.50.0.25&EL=130.0.48.74&from=SYAnikkiLink] ]

1915 写日記:

■ 関連記事

詳細はこの日の詳細から

以上、12 日分です。

指定日の日記を表示

前月 2019年10月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project