110円の知性

110円(税込)の古本を読んで得た知性とはこんなもの(消費税変更に合わせて改題)。

hontoにあった怖い話

hontoという本の書籍サービスがある(本記事では電子書籍とあるが、紙書籍も販売している)。

実は、本記事ではセキュリティが滅茶苦茶だとして批判しているのだが、実は、とても重宝しているサイトでもある。

最近も書籍が売れないので、数年で絶版になるものが多くなっているようで、例えば、TVを見ていたときに出てきた本を調べると、絶版でプレミア価格でしか売っていないことがある。

ところが、このサイト、記事でも紹介のあるように大企業が後ろ盾になって運営しているので、簡単には在庫整理(返本)しないようなのだ。

だから、Amazonから調べ始めていろいろ探っても、在庫がない場合にも、何故か、hontoには在庫があることがあるのだ。

国内の書籍サイトを方々当たっても無いときに、ここを探すと、驚くことに「ある」ことがあるという、不思議な場所なんだよね。

つい先だってもそういうことがあったしね。

このサイトは、時代に遅れているのだろう、しかし、そういうところが、却って、変な本読みにとってはありがたいのだ。

 

hontoにあった怖い話 「サービス誤登録削除を依頼したら当方のメアド変更を提案される」の巻
12/14(月) 12:04配信 ITmedia NEWS
 自分のメールボックスに宛先を間違えたメッセージが大量に届くが、それを防ぐ術がない。今回はそんなお話です。

退会は会員ページに行かないとできない
 Gmailなどの一般的なメールサービスをかなり初期から使っているユーザーは多く経験していることだと思うのだが、スパムが多い。ただのスパムならばスパムフィルターで防げるのだが、やっかいなのが、他人が自分のメールアドレスを誤って登録し、その登録サービスから大量のメルマガやお知らせが届く場合だ。その対策はサービスによって異なり、多くの場合、メールクライアント側でスパムとしてはじく処理をしても効果がない。今回はその1つの例について語りたい。
 筆者がGmailで使っているのは自分の名前に由来する短いメールアドレスだ。iCloudHotmailなどのアカウントも持っているが、自分が希望したものではないメールが段違いに多く届くのが、Gmailのアカウントである。筆者のアカウントには、自分のアカウントだと勘違いした大学教授、自衛隊、マスコミ関係者、就職活動をしている大学生、もしくはその人のアカウントだと勘違いしたその友人や関係者から、重要と思われるメールや打ち合わせの案内、巨大プロジェクト入札の見積書、クレジットカードの請求額案内や個人的な写真などが届く。
 それがその人の人生に関わるようなものであれば、間違いですよと知らせることもある。就職のためのエントリーシートをたくさん登録しまくっていた大学生のは、メールの文面から大学と学部を推測し、大学の学生課にメールして知らせたのだが、基本的には放置する。そのうち止むからだ。下手に返事をすると、必ず削除してください、削除したかどうか確認のメールをくださいと余計なことを言われる。教えたからといってお礼を言われることはほとんどないので、無視するに限る。
 多くのネットサービスは、開始時にメールアドレスを登録させる。フォームに入れさせたメールアドレスに対してアクティベートするためのワンタイムURLを送り、そのアカウントが登録者本人であることを確認して、本登録となる。まっとうなネットサービスはそうやっているのだが、そうでないところも多い。そういう雑なシステムだと、適当なメールアドレスを入れさえすれば、本人確認もなしにそのサービスを使い放題となる。ログインしている誰かさんはそのサービスを享受していて、そのメールアドレス所有者のところにはたくさんの「スパム」が届くというわけだ。正確にはスパムではないが、スパムのように、本人が意図しないサービスからのメールが届くことになる。
 一番ひどかったのは、中古車の見積もり一括登録サービスに自分のメールアドレスを使われてしまったときで、ここに登録されてしまうと数十もの中古車ディーラーからメールが届くことになり、個別に登録を解除していかなければならなかった。それでもしばらくすると自然に収まったので、一過性のものだったのが幸いだった。
 これまではそれが最悪の例だったのだが、それを上回るものが出てきたので、その事例と対策をここで紹介しておきたい。

hontoの話をしよう
 「honto」という電子書籍サービスがある。大日本印刷が運営する、日本では大手の1つだ。ここは上記で挙げたようなメール認証をせずに、いきなり本サービスの登録ができてしまう雑な作りになっている。
 hontoで自分のアカウントが誤登録されたのはこれが2回目だ。最初はGmailではなく、iCloudメールだった。このときも解除に苦労したのだが、また同じことが起きている。当時どうやっていたのか完全に忘れてしまったのでもう一度、問い合わせ先を探すところから始めた。
 この手のサービスでは、一発で誤登録を解除できるリンクを用意しているところもあるのだが、hontoはそうではない。本当に登録してパスワードや会員IDを持っているリアルユーザーでないと登録を解除できない仕組みになっている。hontoの場合は、解除するには生年月日やパスワードが必要だ。他人の生年月日とか知るわけない。クラッカーではないのでパスワードでブルートフォースアタックをかけるわけにもいかない。問い合わせは、まず会員ページに行く必要があるのだが、当然ながらそこには行けない。
 問題を報告するフォームが見つからないので、奥の手を使った。実はhontoには別のアカウントで登録してある。知人の本を買うために加入して、1冊だけ購入した、登録ユーザーなのだ。その会員ページからは、問題を説明する文章を送れるので、そこから送った。それしか方法がなかったのだ。
 問い合わせたところ、まずこちらのメールが正しいのか返事をくれという。当然だ。リプライすると、ご連絡者様(筆者)からの返信を確認したので、退会手続きを進めるとの返事がきた。ちゃんとメールの存在確認をしているところが素晴らしいが、そういうのはまず登録時にやっておくれ。そうすればそもそもこういう問題は起きないのだ。で、「同じアドレスで登録されないようにしてくれ」というこちらからの要請については、「弊社では対策ができない」そうで、「推測されにくいようメールアドレスの文字数を増やすこと」を逆提案された。
 これはすごい。
 このアドレスでまた誤登録されるのが嫌なら、こちらのメールアドレスを変えろ、という嘘のようなhontoの提案を受けたのである。
 大会社から要請されたらメールアドレスを変えるのが最近の常識なのかもしれないが、当然ながらそれはできない相談なので、別の手段を取ることにした。誤登録されたアカウントで登録しておくのである。そうすれば使われることもない。こういうの、攻性防壁っていうんでしたっけ。多分違う。
 そういえば、以前削除依頼したiCloudの方のアカウントはどうだろう。メールアーカイブを調べてみると、いったん削除したはずのメールDMが復活しているではないか。宛先を見てみると、以前誤登録していた名前と一致する。ということは、削除させた後で、また同じおばかさんが登録していたのか。ヤレヤレだぜ。hontoサポートさんのおっしゃる通り、「弊社では対策ができない」というのはhontoらしい。
 そこで、このアカウントでも再度削除を依頼した。これも推測されやすいメールアドレスにした自分のせいなのか? 削除されたら即、自分でこのメールアドレスを確保するつもりだ。これで、筆者が登録したこのアカウントは3つになる。担当者は会員が増えたと喜ばないでほしい。全ては雑な登録システムのせいなのだ。そしてその雑なシステムのしわ寄せは、ユーザーと、非ユーザーと、サポートの人たちに降りかかっている。
 例えば、あなたのメールアドレスをhonto会員として登録したら、たくさんのお薦めメルマガが送られてくるのである。それを解除する方法はない。サポートに連絡をつけて解除させても、またやられる。メールアドレスを変えるしか防ぐ方法はない。
 hontoにあるんですよ、こんな怖い話が。