10周年のSPコンテンツ!

「かざして募金」問題の分析と、誤動作や錯誤による申込みの救済方法についての提案

ソフトバンクの「かざして募金」が1クリック詐欺との指摘がでてきたのに対して、詐欺呼ばわりするほどでは無いのではと疑問を呈し、その正常系の流れを検証。若干不備があるものの、リスク管理判断としてはアリではないかと表明する一方で、そのようにする場合には、錯誤他の異常による解除が申込みと同程度に簡単でないといけないのにそうなっていない点がダメだと指摘。錯誤他の異常はいずれにせよ起きるので、そうした場合の利用者救済が重要。その方法の提案。
社会問題 通知と同意 かざして募金 寄付 セルフまとめ ソフトバンク
13
崎村夏彦 (=nat) @_nat
寄付のフローとか見ても、ソフトバンクに落ち度はないだろう。非常に分かりやすく何度も確認してる。これが駄目なら、eコマースは成立しない→ なぜかユニセフに1万円募金したことに... ソフトバンク「かざして募金」に「覚えがない」人たち smar.ws/JP667
Hiromitsu Takagi @HiromitsuTakagi
@_nat どこのフローを見てそう思いました?

次の2つのツイートは、大阪の「市場ずし」の外国人に対するわさび大盛り炎上事件についてで、「かざして募金」とは全く関係ないのだが、あとでこれが高木先生によって言及されているようなので挿入。

崎村夏彦 (=nat) @_nat
悪意は無く、しばしば有ったワサビ増量要求をデフォにしたためとのこと。→外国人客に過剰わさび 店謝罪 - Y!ニュース news.yahoo.co.jp/pickup/6216368
崎村夏彦 (=nat) @_nat
もうさ、あんまり炎上させるのやめようよ。炎上をエンタメとして楽しむのって、後に待ってるのは息苦しい社会だからさ。批判すべきは、論理的に冷静にやろうよね。

ここから、ソフトバンク「かざして募金」の検証と、問題点および解決方法の指摘

崎村夏彦 (=nat) @_nat
自動認証もMy Softbank 認証で、この場合はMy Softbank 認証を行っていないのではなく、自動認証をやっているようだ→My SoftBank認証(電話番号とパスワードを入力する本人認証)を行っていません。 j.mp/2dxXwrl

問題を、説明・同意画面の不備と、誤操作などに対する不備とに分解

崎村夏彦 (=nat) @_nat
その結果、パスワード入力画面は無く、いきなり説明・同意画面に遷移するようだ。これはこれで良いと思う。問題は、説明・同意画面に錯誤を誘うようなところがないか(不正な同意の取得)、誤操作に弱いところがないか、というところか。

まず、同意取得画面について。

崎村夏彦 (=nat) @_nat
説明・同意画面には、表面上、それほど不審なところはない。あえて言うならば、継続がデフォルトになっている点、とくに1万円をこの形で継続というのはちょっとどうかとは思うが。あと、もう一点。説明画面を飛ばすことができるようなのは、いかがなものか。

次に誤操作を2種類に分けて検討。

崎村夏彦 (=nat) @_nat
誤操作の点に関しては、1)ポケットや鞄内でタップされてしまう、2)ロックしていない電話をポケットから取り出すときに知らずにタップしてしまう、の2パターンがありそうだ。
崎村夏彦 (=nat) @_nat
まず1)のポケットや鞄内で、だが、最近のスマホは、普通の布や革には反応しないから、確率は結構低そう。なので、もしそのようなことがおきた場合には、返金するなどの対策をするという、「リスク受容」はあり得る。これ、実数でどのくらい出てるのかな。
崎村夏彦 (=nat) @_nat
次に2)のロックしていない電話をポケットや鞄から出すときに誤ってタップする例だが、これも、異なる場所を2回づつタップしなければならないようなので、そんなに確率は高くない気がする。だとすれば、返金前提で、そのリスクを受容してしまうというのもあり得ない対策ではない。
崎村夏彦 (=nat) @_nat
これも、確率的にどのくらい出ているのか興味がるところだ。ちなみに、押し続けるのではダメ(文字列選択になってしまう)、タップ x 2でなければならない。
崎村夏彦 (=nat) @_nat
ちなみに、このパターンだと、チェック・ボックスをタップしてチェックする確認を入れても、タップの回数が増えるだけで、あまり根本的な対策にはならなそう。チェック・ボックスに付随するテキスト部分のタップでチェックがついてしまうので。
崎村夏彦 (=nat) @_nat
ご操作を本当に防止してやるとすると、写真を9枚だして、猫の写真を全部選べとか、あるいはキャプチャを出すような形か。ただ、このようにすると、本当に寄付をしたい人も結構脱落することが予想される。
崎村夏彦 (=nat) @_nat
結局、寄付する気がある人の脱落率を最小化するということだと、このようなUIは使わずに、誤操作とその返金処理を許容するというところに落ち着いても、あまり不思議はないな。
崎村夏彦 (=nat) @_nat
その場合、返金処理は想定されるリスクなので、手順に従ってサクっと行わなければいけないのだが、twitter.com/kawakita_moth/… によると、一旦断っているようなので、その辺は要改善だな。

バグの可能性の検討

崎村夏彦 (=nat) @_nat
一方、より心配なのは、プログラムになんらかのバグがあって、たとえばCSRFのような形で寄付させてしまうような攻撃が存在する場合だ。これ、ちょっと心配。だけど、今、検証できない。ソフバン携帯やめてIIJmioにしちゃったからな。

次に、このようにした時には、解除プロセスはどうあるべきかを検討。

ぎゃばん@「愛してる」を知りたいのです。 @gavangavan
@_nat たぶん問題なのは、返金処理ってSB側のコストだけじゃなく、誤操作で送金しちゃったユーザ側もコストかけることになるので、寄付者の脱落死最小化側にバランス置くのは反発ありそうですね。
残りを読む(23)

コメント

苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2016年10月4日
フローに間違いがあるから、ソフトバンクに落ち度ありまくりだよな。
ちょー 次は江田島 @chohitori 2016年10月4日
最近のスマホは布などに反応しない、について。 逆に最近のスマホは手袋をしてても反応する調整ができるものが多く、胸ポケットなどでは誤タップが発生しやすい。 この時期に問題になった理由としては、ポケモンGOの存在も無視できないように思う。あれはロックしちゃうと距離もカウントされないので、卵の孵化だけでも、と考えてロックしないままポケットに入れてる人は少なくないはず。 自分も意図せず発信してしまったことがあり、今は画面を表示したままま操作ロックのできるアプリを入れて対処している。
kzt @kztiam 2016年10月4日
スプリントやらARMも1クリックで買ってしまったのかも。
高木一郎 @takagiichiro 2016年10月4日
支払いが発生し続けていることに気づかない場合もあるので、返金処理が容易であれば良いという考え方には賛同できませんね。バレなければ慈善活動ならば他人の金を奪い取っても良いという事にはなりません。あとで返せば良いとも思いません。
高木一郎 @takagiichiro 2016年10月4日
あと「ソフトバンクに落ち度はないだろ」と言うのは、利用者側に落ち度があると言っているように見えました。
りょう(カロリー不足) @ryokanuma 2016年10月4日
細々とツイート以外の自分の意見を挟んで読みにくいって思ったらセルフまとめかよ。 緑で書いてあることも一緒にツイートしとこうぜ、後出しじゃんけんしてないでさ。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
オレは個人認証なしにクリックのみで契約を結ばせる仕様そのものが問題だと思ってますので、「ソフトバンクに落ち度はないだろう」という見解には疑問を禁じえませんが、一つ一つのプロセスの問題点と解決策を分析しているという点においては、非常に面白いまとめ。個人的には「なるほどこういう考え方もあるのかー」と、ちょっと目から鱗でした。
崎村夏彦 (=nat) @_nat 2016年10月4日
chohitori 胸ポケットとかだと、特に反応しやすいようですね。ポケモンGo効果というのはあるかも知れません。UIデザイン的に、ロック前提みたいなのが割りにあったのですが、その前提はあれで崩れてしまいましたね。
崎村夏彦 (=nat) @_nat 2016年10月4日
takagiichiro 言葉が足りませんでしたね。同意の文言については、という意味です。ワンクリック詐欺は文言で騙すわけですが、文言で騙していると取られても仕方ないようなことは無いという意味です。
崎村夏彦 (=nat) @_nat 2016年10月4日
tikuwa_zero 落ち度が無いというのは、寄付を募る文言については、ね。最初は、ワンクリック詐欺のようだというので、クリックした結果の文言が騙しなのかと思って見てみたらそんなことは無かったので。
崎村夏彦 (=nat) @_nat 2016年10月4日
tikuwa_zero あと、個人認証の問題というより、同意動作の確認の問題だと思うのですがいかがですか?実際に機器を利用しているのは本人だという前提の元で、認証自体はしているので。UIはタップだけですが。
崎村夏彦 (=nat) @_nat 2016年10月4日
ryokanuma 緑のところは抜いても意味は変わり無いと思います。足してあった方が親切かなと思って足しています。特に、違うコンテキストのツイートが混じっている部分。
高木一郎 @takagiichiro 2016年10月4日
_nat つまり、最終的には今回の件は、利用者側の落ち度ではなく、ソフトバンク側の落ち度であろうという考えに落ち着いたということでしょうか。
りょう(カロリー不足) @ryokanuma 2016年10月4日
_nat コンテクストが切り替わる文字が大きい部分は別にいいんじゃないですかね。 小さい文字は「ボク実はこう言いたかったんだよねー」ってアピールに見えて読んでて非常に鬱陶しい。
NiKe @fnord_jp 2016年10月4日
詐欺呼ばわりする人とか結構目立ちますから、落ち度の有無だけで語るのはちょっと危ない気がします。
崎村夏彦 (=nat) @_nat 2016年10月4日
ryokanuma あらら、おせっかいでしたかね。あとで消しておきますかね。
tanakai1010 @tanakai1010 2016年10月4日
tikuwa_zero 端末を持っていることをもって認証としているわけで、個人認証がされてないわけではないでしょう。「おさいふケータイ」系のサービスでも端末を持っていることをもって個人認証としているわけで(でないとクレジットでの支払いが規約違反になるハズ)、これ自体は問題ではないのではないでしょうか。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
パスワードやIDによる個人認証がない場合、第三者の悪戯や悪意で契約出来てしまうので論外です。 RT _nat:あと、個人認証の問題というより、同意動作の確認の問題だと思うのですがいかがですか?実際に機器を利用しているのは本人だという前提の元で、認証自体はしているので。UIはタップだけですが。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
同上です。 RT tanakai1010:端末を持っていることをもって認証としているわけで、個人認証がされてないわけではないでしょう。「おさいふケータイ」系のサービスでも端末を持っていることをもって個人認証としているわけで(でないとクレジットでの支払いが規約違反になるハズ)、これ自体は問題ではないのではないでしょうか。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
この場合の「詐欺」は「詐欺的行為」であって、「詐欺罪」ではないですね。 RT _nat:落ち度が無いというのは、寄付を募る文言については、ね。最初は、ワンクリック詐欺のようだというので、クリックした結果の文言が騙しなのかと思って見てみたらそんなことは無かったので。
崎村夏彦 (=nat) @_nat 2016年10月4日
takagiichiro ツイートにもあるように、1)高額寄付が可能であるにもかかわらず継続がデフォになっているのはいかがなものか、2)この解除・返金プロセスは要改善、3)バグの可能性も解消されていない、と思っています。一方、利用者に関しては、落ち度が無い前提で当たるのが原則でしょう。
tanakai1010 @tanakai1010 2016年10月4日
tikuwa_zero つまり「おさいふケータイ」系のサービスもtikuwa_zeroさんの基準ではアウトということでしょうか。それも一つの考え方ではありますが、おさいふケータイが問題となってない以上、端末を持っていることをもって決済時の認証とするという考え方は社会的に容認されていると思います。
tanakai1010 @tanakai1010 2016年10月4日
利便性と危険性のトレードオフなので、人によってどちら側に傾くかはあると思うので、tikuwa_zeroさんが別に間違っているというわけではないですが。
ヘルヴォルト @hervort 2016年10月4日
ワンクリック募金はそもそもそんな物に加入した覚えがない物に加入していたという問題だったと記憶してるんだけどなぁ
Tsuyoshi CHO @tsuyoshi_cho 2016年10月4日
tanakai1010 おさいふケータイは物理デバイスの操作(かざす)があるので、ちょっと違うかと。オンラインですむものは、確認をとるか、事前に(xxというサービスについては)確認しないよと確認を取っておく、とかが一般的じゃないか感はあるので。
高木一郎 @takagiichiro 2016年10月4日
_nat んんー。利用者に落ち度は無く、システムに良くないと思う点や改善の余地はあるが、ソフトバンクに落ち度があるとまでは言えない、今のままだとしても認められるべき。と受け止めました。ご返信ありがとうございます。
Chariot @BLACK_RX_24 2016年10月4日
今回はあくまで「異様に請求額が高額だったのでたまたま気づいた」という前提をお忘れじゃないですかね。これが少額で、例えば月500円程度だったりしたら、制球に気付かづだまし取られ続けていた可能性が高いのですよ。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月4日
誤タップに関しては、実際そんなに多いの? って引き続き疑問なのです。誤ワンタップはあっても五タップとかあるんですかね。
みけたす(WGFC-はいご) @mikechi3 2016年10月4日
ソフトバンクには紙で明細を送る事を義務づけよう、もちろんその費用はソフトバンクが支払う。webだけではソフトバンクは証拠隠滅するから、物として残させないとダメ。あと物で残ってれば全員が何年もさかのぼって不当請求分を返金させる事が出来る。
崎村夏彦 (=nat) @_nat 2016年10月4日
takagiichiro いやー、「良くない点」が残っていることを「落ち◯がある」といったらそうでしょう。でも、「(ある人や企業に)落ち度がない」ということは言うのはいいけど、公開の場でフィンガーポインティングはしたくないんですよ。それに、そのままで良いとは言っていません。わたしなりに、より効果的だと思う動きはしています。
崎村夏彦 (=nat) @_nat 2016年10月4日
hervort これね、寝ている間に支払っていたという事例があるので、バグかなにかが後ろに潜んでいる可能性は捨てきれないんですよね。ですが、それと、UIの話は無関係です。なんでもかんでもUIのせいにするのも良くないと思っています。
崎村夏彦 (=nat) @_nat 2016年10月4日
mikechi3 紙より、わたしはメールとかのほうが嬉しいなぁ。ちゃんと電子署名つけてね。そのほうが機械的に処理できるし。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
盗難によるリスクは同じですが、その場で消費する短期契約と、継続的な消費を目的とする長期契約を混同するのは意味のない行為ですね。 RT tanakai1010:つまり「おさいふケータイ」系のサービスもtikuwa_zeroさんの基準ではアウトということでしょうか。それも一つの考え方ではありますが、おさいふケータイが問題となってない以上、端末を持っていることをもって決済時の認証とするという考え方は社会的に容認されていると思います。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
常識的に考えて募金というのは、普通その場の一回だけで済ませるものですよね。なので、今回の一番の問題点はデフォルト設定が「最初に振り込んだ募金額と同額を、永続的に支払う契約」になっていた事に尽きるのではないかと。
3mのちくわ(20禁) @tikuwa_zero 2016年10月4日
例えば、チェックボックス形式やパスワード認証形式なら、そこまでしておいて契約の中身を見てなかった契約者の自業自得だとは思いますけど、ちょっとした操作ミスで長期契約を(しかも誤動作の可能性が極めて高い=契約者がそれと気付かない状況で)強いられる可能性が高い以上、意図して詐欺的行為を図ったワケではないならば、GUIとしては明らかな不備です。
pochi-p★ニャーニャーなく猫 @pochi_p 2016年10月4日
返金処理は高コストですから、返金フロー強化は良い事ですがまずUI改善を優先した方が良いですね。利便性とのトレードも「少額(千円?)までは認証なし、それを越えた場合は要認証、継続設定時も認証必須」で賄えそうです。 高額なら金額も2つのテキストボックス欄に確認の意味で2度入力させれば(認証も必須という事で)誤操作&誤入力は回避出来るでしょう。「SBM経由は上限1万」にしても良いですね。
pochi-p★ニャーニャーなく猫 @pochi_p 2016年10月4日
決済完了には確認メールのURLをクリック必須で良いでしょう。これなら返金フローなしでもキャンセルが容易です。Web上での認証手続き後に「確認メールをクリックするまで寄付は行われません」と表示し、件名に「寄付完了してません」と明確な表示したメールを送れば「完了したと思ってた」という勘違いもほぼ内でしょう。 で、「そういうUIで最初からやろうよ>SBM」って話です。素人で考えつく事くらいしろと。だから私は「UIが悪い」と一貫して考えています。
AtsukoOrikasa @Rutice_jp 2016年10月4日
セルフまとめが武田圭史( @keijitakeda )教授の『図書館の自由』のまとめ( http://togetter.com/li/489927 )と同レベルでビックリした
崎村夏彦 (=nat) @_nat 2016年10月5日
tikuwa_zero チェック・ボックス形式でも、文字列部分クリックでオンになってしまうので、あまり本質的な解決にはならないと思います。パスワード入力は、「自動認証」に慣れてしまった人たちにはハードルが高すぎる上、ブラウザが覚えてしまっていたらダメでしょう。なので、キャプチャとか、画像選択かなぁとツイートしています。
崎村夏彦 (=nat) @_nat 2016年10月5日
pochi_p 金額によってレベルをつけるのは賛成です。リスクに応じて確認レベルを上げるべきなので。メールを〜というのは、私はこれでオプトアプトと書いたわけですが、オプトインにせよということですよね。ある一定時間内は「やっぱりやめた」ができるのならば、それも良いと思います。脱落率は上がりますが。
MJ @jaguarsan_jp 2016年10月5日
画面ロックについていくつか 日本では比較的シェアの高い機種のXperiaでは以下の機能があります。 1.画面消灯後任意の時間でロックさせる(任意の時間ロックしない) 2.画面をダブルタップしてスリープ復帰 3.手袋していても操作可能なモード 1~3が組み合わさると画面消灯後ポケットに入れていると誤操作されることが割とあります。 自身は2,3はオフにしていますが、1は指紋認証が対応していない機種なので重宝しています。
MJ @jaguarsan_jp 2016年10月5日
もちろん誤タップは設定を使いこなせていないユーザーの責任とも言えますが、 観測範囲狭いわりに、ロックや誤タップについて自信満々に否定するなあという印象です。
崎村夏彦 (=nat) @_nat 2016年10月5日
jaguarsan_jp なるほど〜。このXperiaの機能を想定すると、タップ数回で書いたり消したりする操作は危険ですね。スリープ復帰しないなぁ、と思って、タタタタとタップすると…。いやー、勉強になります。
MJ @jaguarsan_jp 2016年10月5日
_nat ひとつ伺いたいのですが、決済時にパスワードを入力しなくても良しとする設計は 携帯端末からの操作だからという理由ですか?PCで同様の機能があった場合、セッションハイジャックで購入され放題、パスワード変更し放題となるので多くの診断サービスでは脆弱性と判断されると思います。
MJ @jaguarsan_jp 2016年10月5日
jaguarsan_jp 自己補完、携帯端末+キャリア通信の場合にはネットワークレベルで本人確認できるため、セッションハイジャックでは悪用できないという言い訳ができます。
崎村夏彦 (=nat) @_nat 2016年10月5日
jaguarsan_jp 否定しているのではなく、むしろ、誤認識や誤タップはいずれにせよ起きるとの考えです。たとえパスワードを入力させたとしてもです。実際今年、私はそれをやって、5万近く失っていますし。ここで確率が低いのではとしているのは、事業者の判断としてトラブルのリスクは受容しているからです。もう結構な期間やっているわけですし統計を持っているはずです。なので、実数はどのくらいだろうかと疑問を呈しています。
tanakai1010 @tanakai1010 2016年10月5日
tikuwa_zero 確かに電子マネー系のサービスでサブスクリプションの決済はできなかったはずですが(Apple Payとか海外のサービスは知りませんが)、Google Playなんかだとオプトインですがサブスクリプションの決済をパスなしで出来てしまうんですよね。端末を第三者に使われるリスクとしてはサブスクリプションにも同様にありますし、特にそれが問題になっているということも聞いたことはありません。
tanakai1010 @tanakai1010 2016年10月5日
デフォで自動ログインが有効なマイソフトバンクとオプトインのPlayでは、Playのほうが安全側に倒しているわけですが、それでもあのチェックボックスみんなチェックしちゃうと思うんだよなあ。。(毎回パス入れるのメンドイ
崎村夏彦 (=nat) @_nat 2016年10月5日
fnord_jp 流石に故意でやっているとは思わないんですよね。だから、詐欺という言葉は強すぎるかと。
崎村夏彦 (=nat) @_nat 2016年10月5日
BLACK_RX_24 これはありえますね。日本だと、あんまりクレジットカードの請求書見ないですものねぇ。
崎村夏彦 (=nat) @_nat 2016年10月5日
jaguarsan_jp はい。これは、SIMの物理的保有の確認とそれにもとづく回線認証が前提になっているのに加え、携帯電話を共有するというのはあまり無いケースだと思うからです。
崎村夏彦 (=nat) @_nat 2016年10月5日
tanakai1010 提供者側は、端末は利用者の自己管理で、盗難にあった場合には比較的短時間で無効化できるという前提に立ってやっていて、それが利用者にも受容されているように思われます。
MJ @jaguarsan_jp 2016年10月5日
_nat ありがとうございます。そこの部分明確になっていなかったので、一般的なWebサービスにおいても重要操作の前にパスワードを要求しなくても良いという主張に読む人は多いと思います。
🐔名無し🐔 @ScreamIcecream7 2016年10月5日
わかるよわかるよ ソフトバンクなんかと契約してる馬鹿が一番悪い ソフトバンクは悪くないっていうまとめでしょ?
長峯明子 @xshochanx 2016年10月5日
これ、言い掛かりに近いと思う
苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2016年10月5日
そもそも、被害者は「何もしてないのに勝手に引き落とされてる」と言ってるのだから、フローを一切辿ってないのに勝手に引き落とされてるわけで、フローを根拠に「落ち度はない」とかいうのは、アホの戯言としか…。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
「何もしてないのに」というのは話を盛っている可能性が高いですな。今までの「何もしてないのに」と言ってた人に対する経験ですが。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
ソフトバンクが悪いのかどうかはわからないというまとめですよ?
苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2016年10月5日
「盛ってる可能性がある」ということは「盛っていない可能性がある」とも言える。ソフトバンクが悪いかどうかは分からない。何にしろ「フローを根拠に」「ソフトバンクに落ち度はない」とかいうのは、アホの戯言としか…。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
じゃあ「盛ってる可能性のほうが、盛っていない可能性より高い」に表現を改めます。
崎村夏彦 (=nat) @_nat 2016年10月5日
adgjmpt_1011110 何度も書いていますが、このフローでの表示には、「1クリック詐欺より悪い」といわれるような「意図的騙し」ととられるような落ち度は無いと言っているのであって、他に何もないといっているのではありません。でなければ、その後に他の事象惹起の可能性を検討する必要はないでしょう?(つづく)
崎村夏彦 (=nat) @_nat 2016年10月5日
(つづき) この一連のツイートでは、大きく分ければ、  A)文章で錯誤を誘い寄付させるようなSBの行為、  B)誤タップなどによる可能性、  C)ソフトウェアのバグの可能性、 の3つの可能性を論じています。そして、最初のツイートで、A)は無い(「フローを根拠に」「落ち度はない」)とし、その後の検討をB)かC)の場合に集中しているのです。 (つづく)
崎村夏彦 (=nat) @_nat 2016年10月5日
(つづき)そのどちらも現状の情報からは排除できません。個人的には、なぜC)の可能性があまり取りざたされないのか理解できません。何もしていないとか、夜中に寝ている時間に寄付していたとか、他人のIDで寄付していたという事例もあるのですから、なんらかのセッション混同が起きている可能性があります。そして、他の事例でも、こうしたセッション混同のバグは見られています。(つづく)
崎村夏彦 (=nat) @_nat 2016年10月5日
(つづき) また、B)に関しては、そのリスクを認識した上でも、事業者としては受容する可能性があることを論じています。更に、そのような選択をした場合、本来しなければいけないことには何が有るかということも論じています。 (おわり)
崎村夏彦 (=nat) @_nat 2016年10月5日
二重支払の事例とか見ると、IDMがうまく行ってなさそうだなぁ…。すると、バグの可能性が上がってくるな。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
「とんでもない仕様である。勝手に引き落とされてしまうのでワンクリック詐欺より酷い。誤動作で簡単に金銭の取引が行われてしまう」に対して「意図的騙し」を言及してると解釈して「寄付のフローとか見ても、ソフトバンクに落ち度はないだろう。」って言ったんです? おかしくない?「誤動作で簡単に」「引き落とされてしまう」であって「意図的騙し」なんて言及してないんだから。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
「1クリック詐欺より悪い」は1クリック詐欺が基本、請求のみなのに対して金銭が引き落とされてしまうことでしょ。 とりあえず、ここの身内のデマだって意見には同意してないってことでいいのかな? https://twitter.com/AKHYSH/status/782471263469965312
高木一郎 @takagiichiro 2016年10月5日
ontheroadx 根拠なく憶測で盛ってるとか言って疑念をぶつけるの、ミチガミさんいつもの悪い癖だと思いますよ。
高木一郎 @takagiichiro 2016年10月5日
xshochanx このまとめの最初のツイートをした崎村さんも、その後の流れで、やはりソフトバンク側にいろいろ問題があるという考えになったようですよ。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
takagiichiro いつまでも根拠なくいろいろなことを信じてる人が減らない気がするから仕方ないかもしれません(高木一郎さんのことではありません)。なお、話を盛ること自体は仕方のないことだと思っています。
高木一郎 @takagiichiro 2016年10月5日
_nat バグの可能性も十分あると思っていますよ。端末側サーバー側問わず。もちろん、物理故障の可能性も、うっかり手で操作した可能性も。いずれにしても、簡易性の追求のために、常識的な安全装置を外しすぎな点は、十分ソフトバンク側に落ち度があると思います。
高木一郎 @takagiichiro 2016年10月5日
ontheroadx やめたほうがいいですよ。ほんとうに。失礼ですし、むやみに疑われた人が気の毒です。
ぼさん @bo__san 2016年10月5日
盛ってある前提で話を読める人が少ないのが問題なわけで。@ontheroadx氏のスタンスは最低限我々ネットユーザーが身に着けるべきリテラシーではないだろうか(個人の感想です)
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
takagiichiro 大きなお世話です(おれがな) RT:takagiichiro「やめたほうがいいですよ。ほんとうに。失礼ですし、むやみに疑われた人が気の毒です。」
高木一郎 @takagiichiro 2016年10月5日
ontheroadx 根拠なく疑うのだって根拠なく信じるのと同じぐらい愚かですよ。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
takagiichiro 少なくとも今回は、「何もしてない」と何も起こらない可能性が、起こる可能性より高いのは、検証画像その他で明らかなんじゃないですかね RT:takagiichiro「根拠なく疑うのだって根拠なく信じるのと同じぐらい愚かですよ。」
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
ontheroadx 比べるのは盛ってるのと盛ってないのの可能性じゃないんですか?
高木一郎 @takagiichiro 2016年10月5日
ontheroadx 防ぐための十分な処置がなされていない事がわかった以上、身に起きたことを訴えている人に向けて盛ってる可能性が高いだとか言いがかりだろうとか、そういう事を言うべきではありませんよ。個人を批判するような疑念は内心にとどめた上で大企業の取り組みに対して改善を求めるほうが社会のためです。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
itachimasamune7 何もしていない、と、「話を盛っている可能性」ですね。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
takagiichiro  「言いがかりだろう」とは、この件に関しては言ってましたっけ RT:takagiichiro「防ぐための十分な処置がなされていない事がわかった以上、身に起きたことを訴えている人に向けて盛ってる可能性が高いだとか言いがかりだろうとか、そういう事を言うべきではありませんよ。」
高木一郎 @takagiichiro 2016年10月5日
ontheroadx 盛ってると同等の語として他の人のコメントからも挙げたのは、そういう心無い言葉を本当に何もしていないかも知れない人にぶつけないであげてねという意図です。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
ontheroadx 不具合の可能性も言及されているので認識のない募金に対して「何もしてない」は「盛ってる可能性が高い」はまだ言いがかりレベルでは? _nat _nat
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
takagiichiro 「言い掛かりに近いと思う」という個人の感想を述べていけないという理由が不明です RT:takagiichiro「盛ってると同等の語として他の人のコメントからも挙げたのは、そういう心無い言葉を本当に何もしていないかも知れない人にぶつけないであげてねという意図です。」
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
itachimasamune7 何もしていないと何かが起こる可能性はあるが、それは何も起こらない可能性より高くないから、前者の可能性を後者の可能性より高いとするのは、不都合の可能性を考慮しても盛ってませんかね RT:tachimasamune7「不具合の可能性も言及されているので認識のない募金に対して「何もしてない」は「盛ってる可能性が高い」はまだ言いがかりレベルでは?」
崎村夏彦 (=nat) @_nat 2016年10月5日
itachimasamune7 同意してません。同意してたら、他の可能性を探る必要ないでしょ。
崎村夏彦 (=nat) @_nat 2016年10月5日
jaguarsan_jp 補足。man-in-the-browserはセッション・ハイジャックには入れないとすると、Token Bind してればセッション・ハイジャックは極めて困難になります。その場合に、パスワードを入れさせたほうが良いかどうかというのは、いろいろなリスクファクターを考慮して決めることだと思います。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
ontheroadx 何もしてない状態で「何かが起こる」ことと「起こらない」ことの可能性を比較して話を盛ってると言及する視点がおかしくないですか、そもそもそんなに再現性高い不具合を残したままリリースする可能性が低いですけど再現性低い(見つけにくい)不具合が残った状態でリリースされる可能性は低くないですよね?
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
itachimasamune7 あなたはその可能性をどの程度だと思っていますか。ぼくは考慮に値するほどには高くないという判断です(多分まとめ主さんとは違う判断ですが) RT:itachimasamune7「再現性低い(見つけにくい)不具合が残った状態でリリースされる可能性は低くないですよね?」
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
ontheroadx 被害を訴えている人に話を盛っていると言及できるほどの情報はまだないですね。 実際、ソフトかハードに何かしらの不具合があるのはよくあることなので。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
ontheroadxすみません、可能性って不具合がある可能性ですか? ソフトウェアの可能性はあまり信じてないです。勝手にタップされるのはありえるかなって印象です。 ロックせずにポケット入れてとか、プッシュ通知からトントントンと同意まで行く可能性はあると思います。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月5日
itachimasamune7 わかりました RT:tachimasamune7「勝手にタップされるのはありえるかなって印象です」
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月5日
_nat 私としては「ソフトバンクに落ち度はないだろう。」を援用に被害者の方を問題としているTWを見ているので、対象のTWをそのままにしているのが気になっています。 また最初のTWで引用したサイトでは被害者の方が「意図的騙し」があるとの言及をしていないのに、そのように主張しているかのようにおっしゃってますが、そちらは別のソースがあるのでしょうか?
高木一郎 @takagiichiro 2016年10月5日
ontheroadx 人の行動について言い掛かり呼ばわりするというのは強い批判です。根拠が無いなら言うべきではありません。そんな強い言葉で叩いておいて、「思う」を付けたからいいのだとか、ただの個人の感想だからいいのだとか、そんな言い訳をするのも良くない態度でしょうね。人として。
崎村夏彦 (=nat) @_nat 2016年10月6日
itachimasamune7 リンクされた記事中の「ワンクリック詐欺より酷い」というのがソースです。「詐欺」というのは「意図的騙し(意図的に錯誤に陥らせる)」のことです。意図せずに錯誤に陥らせるのは詐欺とはいいません。他者を詐欺とレッテル貼りすることは、極めて強い言葉遣いです。意図的に騙しているのでは無いというのならば、別の言い方をすべきです。
崎村夏彦 (=nat) @_nat 2016年10月6日
itachimasamune7 最初のツイートを援用して…ということですが、現在私は、それを消すことによって、わたしが被害者の方を問題にしていたのを引っ込めたと言われるのを恐れています。それに、今更そのツイートを消すなりしたとしても、引用したツイートには影響ありません。むしろ遺すことによって、読者がリンクを辿って、私と同じように、消費者が救済されるべきという結論に至ることを希望します。
崎村夏彦 (=nat) @_nat 2016年10月6日
itachimasamune7 そもそも私は、事業者と消費者では大きな情報や能力の非対称性があると考えており、多少のことでは消費者側が救済されるべきと強く思っています。だから、もし消費者側の責任で錯誤があったとしても、なおかつ消費者は救済されるべき、かつ、それは、最初の行動と同等かより容易にできるべきと言っているのです。
崎村夏彦 (=nat) @_nat 2016年10月6日
itachimasamune7 更に言うならば、私は「アマゾンの1-clickは過去にオプトインしているから良いのだ」という、消費者に負担を求めるマッチョな議論にも与しません。理由は、1-clickにオプトインしたときと、実際の購買行為の時間的距離が離れすぎているからです。この考え方の一部は、経産省の『消費者向けオンラインサービスにおける通知と同意・選択に関するガイドライン』の「3.3.7 適時性」にも反映しています。これはパーソナルデータの提供に関するものではありますが。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月6日
_nat リンクされた記事中の「ワンクリック詐欺より酷い」は「とんでもない仕様である。勝手に引き落とされてしまうのでワンクリック詐欺より酷い。誤動作で簡単に金銭の取引が行われてしまう」と『「意図的騙し(意図的に錯誤に陥らせる)」』との趣旨ではないとおもいます。 itachimasamune7 被害にあった人の結果だけを比較してる文です。 ただ前後の文を無視して「詐欺」単体で見ればその通りですね。
苺花見に欲をかけたらラッキー7 @adgjmpt_1011110 2016年10月6日
_nat 被害者は「フロー通りの操作を一切してないのに勝手に寄付が行われた」と言ってるわけで、フローの妥当性をどれほど主張しても、フローのみを検証しても「ソフトバンクに落ち度はない」根拠にはなりません。わかります?僕は「フローはおかしい」とも「被害者は全く悪くない」とも言ってませんよ。
MJ @jaguarsan_jp 2016年10月6日
_nat Token Bindingプロトコルは未だ黎明期と言える状態では? どちらかというと質の低い事業者やユーザーがSIM認証やToken Bindで対策してるサイトの表面だけ見て、重要な取引時にパスワード不要と間違った学習してしまう方が心配です。
崎村夏彦 (=nat) @_nat 2016年10月6日
jaguarsan_jp わたしは、色んな所がたびたびパスワードを要求しだすのが心配です。
崎村夏彦 (=nat) @_nat 2016年10月6日
[c3121270] 未認証じゃないですよ。
川北和倫 @kawakita_moth 2016年10月6日
なんか聞きたいことあれば答えますよ。憶測で話が飛び交ってるようなので。 まああまりに突飛な話ですから、盛ってると思われても仕方ありません。 ただ、純然たる事実として「課金されていた」がありまして、妻にはまったく覚えがない(請求に異変を見つけたのは妻です) 僕の検証はあくまで仮定、です。 正直ここまで拡散されるなんて思っていなかったので、言葉足らずになっていたかもしれません。その点はお詫び申し上げます。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月6日
kawakita_moth ソフトバンクのやつに詐欺的な意図的騙しがあるって主張してましたっけ?
川北和倫 @kawakita_moth 2016年10月6日
itachimasamune7  ワンクリック詐欺より酷い=これは詐欺だ! という主張 に見えたという事でしょうか。 真意としては 「ワンクリック詐欺」=「被害者が自ら能動的に入金する手順を踏む」 という特徴から 能動的に入金の意思がなくても誤タップで入金してしまう、という点においてワンクリック詐欺より酷い、と感じましたので上記のような表現を使用しました。 このことが詐欺的行為に対しての比較として見られ、意図的騙しがある!という主張に見えてしまったかもしれません。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月6日
kawakita_moth ありがとうございます。私も itachimasamune7 と理解したので「寄付のフローとか見ても、ソフトバンクに落ち度はない」の意味を _nat このように説明してるのが納得できなかったです。そもそも文言をフローって言うのかとか。ただ「ワンクリック詐欺より酷い=これは詐欺だ! という主張 に見えた」かもしれないですね。
川北和倫 @kawakita_moth 2016年10月6日
itachimasamune7  「勝手に引き落とされてしまうので」とワンクリック詐欺にかかる説明をつけておいたんですが・・・ 印象の強い「ワンクリック詐欺」が際立ってしまい、一人歩きしてしまったようです。僕の言葉選びがマズかったかもしれません。失礼いたしました。
ཨ༌ར༌ཁི༌ ཨི༌ས༌མུ༌ @itachimasamune7 2016年10月6日
kawakita_moth いえ、私も文脈を無視した批判だなと思います。
未知神明(みちがみ・あきら) @ontheroadx 2016年10月6日
わかりました RT:kawakita_moth「まああまりに突飛な話ですから、盛ってると思われても仕方ありません」
崎村夏彦 (=nat) @_nat 2016年10月7日
kawakita_moth 私の読み方にもバイアスがあったかとは思います。ちょうどISOの通知・同意ガイドライン(←事業者が分かりにくい文言などで、利用者の錯誤を誘わないようにするためのもの)に寄せられたコメント処理をしていたところなので、その側面をクローズアップして認識したのは否めません。
ログインして広告を非表示にする
ログインして広告を非表示にする