モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

2008-07-14 (Mon)

[][][]携帯の契約者固有ID通知開始はどんな危険があるのか? 携帯の契約者固有ID通知開始はどんな危険があるのか?を含むブックマーク 携帯の契約者固有ID通知開始はどんな危険があるのか?のブックマークコメント

高木浩光@自宅の日記 - 日本のインターネットが終了する日

を読んで、ヤバいからみんな読んどくべきと思いつつ、長すぎて途中でやめちゃう人がいると思うので、興味を持ってもらうために、どんな良くある詐欺が発生するのか例を書くことで支援したい。


良くある架空請求詐欺サイト、特にエロ系なんかで「このページを見たことで自動的に会員登録されました。ついては1週間以内に5万円振り込んでください。」みたいなのがある。

その際、その架空請求をもっともらしくするために、IPアドレスだとかプロバイダだとかを表示して、さもこっちはお前の個人情報すでに知ってるんだぞって誇示してみたりする。

で、こういうのを踏んじゃったっていう相談を受けたとき、それは単に詐欺のサイトで、彼らは個人情報などなにもつかめていないし、IPアドレスだけで個人を特定することはできないし、プロバイダ個人情報保護しないといけないから、そんな架空請求詐欺からの問い合わせで名前や電話番号言ったりしない、という説明をする。

つまり、無視しとけばいいよ、と言えるわけです。


ところが、契約者固有IDを送るようになるとどうなるか。

携帯経由でなにか買い物をして、名前や電話番号、住所などを入力したとする。

その際、一緒に契約者固有IDも送られるから、当然事業者は契約者固有IDと名前や電話番号住所を紐付けしたデータベースを作る。

こうやって作られた契約者固有IDと名前電話番号などのデータベース、さらにはなにを買ったか(つまりその人の志向)は、こっそり取引されるようになる可能性が考えられる。

もっと言えば、占いサイトだとかちょっとした話題になりそうなもの(脳内メーカーのようなものとか)で、うまく電話番号と契約者固有IDとを紐付けして取得するための罠として、そういったサイトが作られる場合もあるだろう。


で、次世代架空請求詐欺サイト。

今度は「このページを見たことで自動的に会員登録されました。」と表示したときに、契約者固有IDから名前と電話番号を一緒に表示させる。

これだけでも効果が高いが、ダメ押しで「1時間以内に確認のお電話を差し上げます」と書いておく。んでほんとに電話が掛かってくる。出来れば10分以内とかが効果的だろう。で「もし期日までにお支払いいただけない場合は、そちらまで取りにうかがいます」とか言ってくるわけ。

こうなると、もしそういう相談を受けたりしても、架空請求だから無視しておけばいいですよとは気軽には言えなくなってくる。やつらは個人情報を把握している可能性が高いから、ほんとに来るかもしれないし。


とりあえず、架空請求詐欺をする側にとってみれば、格好の新詐欺ツールを提供してくれた!という状況だと思う。

高木さんはさらにその先の、契約者固有IDにあたるものがPCにまで適用されてしまった場合を想定して懸念を書かれているが、携帯だけでも十分やばそうな感じは想像できると思う。


最後に、高木さんが書かれた、契約者固有ID送出化された携帯ではこう注意すべきという案内を引用する。

契約者固有IDを全サイトに送信するのが標準仕様である「ケータイWeb」においては、次の通り使い方に注意する必要がある旨、情報セキュリティを専門とする者として一般利用者へ勧告したい。

  • ケータイWebにおいては、絶対に住所氏名を入力しない。
    • 商品配送先として住所氏名の入力が必要となるネットショップは利用しない。(着メロ等のダウンロード購入のように、住所氏名を送信する必要のないショッピングしかしないようにする。)
    • どうしても物を買いたいときは、携帯電話会社が運営するショップを使う。(携帯電話会社は、ユーザIDを流用することはないので。)
  • ケータイWebにおいては、完全に匿名で使うことを覚悟するか、又は、常に非匿名であることを前提に行動する。
    • 匿名を選択する場合は、自分が誰であるかわかるようなことを、どのサイトでも明らかにしないようにする。
    • 匿名を選択する場合は、自分が誰であるかはどのサイトでも知られ得ると覚悟して、それでもかまわない行動しかとらないようにする。

(追記)

ドコモiモードで、契約者固有ID「iモードID」を送出しない設定にするには

重要なお知らせ : 『iモードID』の提供開始について | お知らせ | NTTドコモ

iモードから

「iMenu」→「料金&お申込・設定」→「オプション設定」→「iモードID通知設定」

で設定を変更できます。


(追記)

iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲

でも同じ懸念例が書かれていた。


(追記 2010/5/13)

2年後には既に懸念された事態になりつつある。

もう数年すれば社会的にももっと認知される手口になるのではないだろうか。

携帯の契約者固有IDを悪用した詐欺が予測された通りになりつつある - モーグルとカバとパウダーの日記

mmmmmmmm 2009/01/21 06:45 私はこういう世界には疎いのでとても参考になりました。
ただ、時すでに遅しと言うか・・この文章を拝見する以前、何も考えず個人情報を携帯を通してあるサイトに通知してしまいました。そのサイトを運営する会社の世間一般のイメージとしては健全で大規模な所であるとは思います。またオンラインショップではありません。こういったところでもやはり警戒を怠ってはならないのでしょうか?ちなみに利用規約はよく読み、それによると月並みではありますが、第三者への個人情報の提示は絶対に無く、また代表責任者の方の名前もしるされていました。何分世間知らずなもので、できればお手柔らかにアドバイスしていただけると幸いです。

stealthinustealthinu 2009/01/21 09:23 ほんとうに大手であれば、ある程度信用しても良いのではないかと思います。
極端な例になりますが、携帯電話会社であれば携帯IDと個人の紐付けは最初から出来てるわけで、元々信用せざるをえない状況なので。
また公式サイトでは、以前から契約者固有IDが取得できたので、公式サイトに入っているところも信用しなければならない状況です。
なので、公式サイトに入っているのと同じ規模、健全さの会社であれば、信用してしまっても同じかな、とも思います。
あと、こういう知識が有ればそれだけで、詐欺に掛ってしまう可能性が減るわけで、すでに固有IDと個人情報の紐付けが漏れていたとしても、知った意味はあったかと思います。