東京都がSMSで納税催告、詐欺に活用される可能性があるとして識者から懸念の声 84
ストーリー by hylom
東京都側の謎の自信がおそろしい 部門より
東京都側の謎の自信がおそろしい 部門より
東京都が税金未納者に対し、SMSを使った督促を行うことを発表した(J-CASTニュース)。
今までは電話や訪問を行って督促を行っていたが、新たにSMSも活用するという方針だそうだ。これに対し、詐欺に使われる可能性もあるとの指摘が出ている。いっぽう東京都側は、なりすましは絶対にない、「やる、やらないにかかわらず詐欺は発生している」などと主張しているようだ。
Alphanumeric Sender ID と違って発信元電話番号は詐称不可 (スコア:2, 参考になる)
#3645858 [srad.jp] のように、
といった書き込みが色々されているようですが、日本国内ではSMSの発信元の電話番号を偽装した場合、廃棄されるので偽装できません。
のようなケースは、悪意のあるSMSの Alphanumeric Sender ID が "NTT DOCOMO" となっているので、ドコモ公式SMSと同じスレッドになっているだけです。
SMSの発信元の電話番号の偽装ではありません。
Alphanumeric Sender ID が何であるのかは、日本語の情報サイトは少ないですが ↓ が分かりやすいかなと思います。
https://twilioforkwc.zendesk.com/hc/ja/articles/360000013181 [zendesk.com]
で、Alphanumeric Sender ID が "NTT DOCOMO" な SMS の発信元の電話番号を確認すれば、なりすましかどうかがわかるかという点については、なりすましかどうかの判別は不可能です。
何故ならば、Alphanumeric Sender ID で SMS を送った場合、発信元の電話番号はデータとして受信者に渡らないからです。
SMSはマルチバイトでは70文字まで、1バイト文字だけでも160文字までと制限されているような原始的な仕組みになっており、
Alphanumeric Sender ID か発信元の電話番号のどちらかしか通知されないわけですね。
じゃあ、Alphanumeric Sender ID として電話番号を送ったらどうなるのか、と思うかもしれませんが、それはキャリア側のシステムでブロックされます。
つまり、実在の電話番号を詐称することはできません。
ただし、Alphanumeric Sender ID として5桁の数字が使われる場合 [ex-sms.com] もあるので、数字のみなら電話番号というわけではなく、
実在の電話番号 ("0901234****" のような番号) は詐称できないとお考え下さい。
ってことで、"NTT DOCOMO" のような Alphanumeric Sender ID を使ったドコモが馬鹿でセキュリティを分かっていないということです。
東京都のように発信元を電話番号にして、それを公開するというのは理にかなっています。
つまり、"NTT DOCOMO" を詐称したSMSは送ることができるが、東京都の電話番号を詐称したSMSは廃棄されるということです。
日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。
海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。
Re: (スコア:0)
へぇ。けっこうセキュアなんだね。
でも、発信者番号の詐称については防げるのは分かったけど、東京都を詐称した詐欺自体は防げないのよね…。
無論、発信者番号が異なるので分かる人にはすぐ分かるのだろうけど、騙される人は調べる能力が無い人だからね。
今まで使われてなかったSMSでの督促、という経路が増えたことで、詐欺の経路も増えた、ってのが問題なんだな。
従来は、SMSで督促は詐欺!と切り捨てれば良かったわけなので。
Re: (スコア:0)
SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 [security.srad.jp]なんてのも昔ありましたが、さすがに修正済みでしょうかね。
それ以前の問題として、他の人も指摘しているように発信者電話番号は偽装できなくても、よほどわかりやすい番号で周知しないと贈ってきた発信元の電話番号が本当に都税事務所のものかは普通分からないという問題がありますね。
0の代わりにOを使うとか1の代わりにlを使ってAlphanumeric Sender IDを電話番号っぽく見せる手もありそう。
SMSで詐欺は起こる (スコア:0)
ただこれまで電話で詐欺をしていたSMSに移るだけな気がする
Re: (スコア:0)
どちらかというとメールじゃね。
今までは「メールやSMSでは振込請求することはありません。もしあればそれは詐欺です」
と言えたのが,本物も混じるので、偽物がより本物っぽく見えることは問題だな。
電話での振り込め詐欺とメールやSMSでの振り込め詐欺は、ノウハウレベルでは大違いだろううな。
メールは自動化して大量にばらまけるが、電話と違ってリアルタイムで話して相手を説得する手は使えない。
Re:SMSで詐欺は起こる (スコア:2)
行政機関のほうもな。
目的は、公務員の働き方改革というか、省力化だろ。
督促なんかにコストをかけたくないだろうし。
詐欺のリスクばっかりに注目するのはどうなの。
行間を読むの苦手です (スコア:0)
「やる、やらないにかかわらず詐欺は発生している」のに「なりすましは絶対にない」って、
どういう事?
「SMSを使った納税催促の詐欺は発生するけど、なりすましでの詐欺は絶対にない。」
って事?
Re:行間を読むの苦手です (スコア:1)
行間は読めなくてもリンク先の記事を読めばわかる
> 「なるべくいろんな連絡手段を取りたい。従来の手段ではなかなか連絡が取れない時、携帯電話番号がわかれば送信することできるSMSという手段をとった。(メッセージを)送信する仕組みで、都税事務所の代表番号を発信元にして送信することができるのも選んだ一つになる。そこについては絶対なりすましはできない」
の一部を切り取って煽ってるだけやな
Re:行間を読むの苦手です (スコア:1)
一部を切り取っている、というのも切り取ってる感じ。
なりすましされるかされないかは、なりすましされる側(ここでは東京都)が決めることじゃないんだよ。
なりすまそうというやつが決めること。
そして指摘している人は、そういうなりすましを行うネタに使われるぞって警告してんだよね。
ほら、市民(都民)ってアホな人もいるじゃない?
どんなに強く「こういうのは詐欺だから気をつけろ」って言っても詐欺に騙されるんだから、「東京都がSMSで催促することが実際にある」というだけで騙されるリスクは跳ね上がるんだよ。
やってもやらなくても詐欺は行われているのは確かだが、だからといってもっと騙されやすいようにするネタを追加しなくてもいいじゃない。ってこと。
Re: (スコア:0)
東京都がなりすましされないと言ったのは「発信者番号はなりすましできない」なんですが、
悪人がやろうと思ったらSMSで発番なりすまし可能なの?
そんなこと言ったら
「発信者番号は」を取り除いて報道することで、
あたかも東京都が「なりすましできない」と言ったように報道するほうがまずいおかしいと思うんだが
「ネタに使われるぞ」って言いたいだけならそんなゆがめた話を報道する必要なくない?
また正直騙される奴は「東京都がSMSで催促することが実際にある」
なんて聞いたことがあるとは思えないし、
それでリスクが跳ね上がるとは思わんな
仮に聞いたことがあるかどうかが問題であるなら、
こうやって誇張混ぜて報道することがかなりリスクあげてるんじゃないの?
Re: (スコア:0)
こういうなりすまし [impress.co.jp]があるようだから、やろうと思えばできるんじゃないかな
このなりすましがどういう状況かわからないけど(例えば電話番号を見れば詐欺とすぐわかるとか)、少なくとも「"発信者番号は"なりすましてない」と言っても無駄なのはわかるよね。
Re:行間を読むの苦手です (スコア:1)
海外のプロキシだかなんだか通すと発信者番号は偽装出来るって、かなり前に話題になった気がしたんだけど、もう塞がれたのかな?
どちらにしても、「そこについては絶対なりすましはできない」は虚偽だし、詐欺師の口上に真実味を持たせるみたいで、最悪の発言ですね。
まぁ、嘘をつくのはどうかと思うが、SMSでの請求は東京電力でもやってたりするので、未払い通知という意味では良いと思う。
ただし、支払い方法や、連絡先を付記するのは悪手なので、その辺をきっちりやって欲しいですね。
Re:行間を読むの苦手です (スコア:1)
税金不払いを続けるだろう。
Re: (スコア:0)
ありがとー。リンク先読んできた。
hylomにしてやられたのか・・・。おのれぇ。
#リンク先を読まない行為は棚上げ中です
Re: (スコア:0)
誤字だけならかわいいもんだが、このような悪意を感じられる切り取りまでするのは
さすがにどれも恣意的なものなのではないかと思わざるを得ない。
真偽確認は受信者のスキル任せ (スコア:0)
真偽確認には別ルートで正しい電話番号知ったうえで
受信者が(脳味噌で)判断しなきゃならない
そんなことできない(やってない)からあれだけ
オレオレ詐欺が蔓延しているわけで、
そもそもオレオレ詐欺で使われているメディアに本物が乘るのって
どーよ、と思うのだけど。
早晩、この杞憂が正しいかどうかはっきりするだろう
Re: (スコア:0)
それについても元記事でふれられてるで
Re: (スコア:0)
絶対に行政にしか取得できそうになく,
分かりやすい3桁か4桁の番号とかなら
まだ確認コストが低くて可能性はありそう
それでも,そもそも発信者番号なんか確認せず,
「都がSMSで催促をしている」という又聞きの知識だけで
本物に違いないと判断する人たちが相当数いるんだろうけど。
Re: (スコア:0)
税務署の電話番号だなんて見ただけでわかるわけがない。
Re:真偽確認は受信者のスキル任せ (スコア:2)
警察署なら1234なんですが、税務署はバラバラです。(とりあえず大阪のを見てみましたが)
Re: (スコア:0)
市外局番付きの緊急じゃない番号なら、うちのほうは警察は0110だよ
それが普通だと思ってたけど違うんですね
Re: (スコア:0)
へぇ自分とこの警察署は市内局番-0110 やね
Re: (スコア:0)
大阪だけの特殊事例だよ
Re:真偽確認は受信者のスキル任せ (スコア:2)
大阪府のリストしか見なかったんです。(大阪府民だし、以前1234に電話したこともあるし…)
大阪だけが特殊とは…
税務署は他県もバラバラみだいです。
Re: (スコア:0)
うちの近所はx110だね
同一局番内にたくさんあるからだと思うけど。
Re: (スコア:0)
確認コストで言えば3桁4桁とかいうググラビリティの低い番号より正式な電話番号のほうが良いと思うな
どうせ覚えないし
Re: (スコア:0)
ふむふむ。
https://www.tca.or.jp/information/camouflage.html [tca.or.jp]
Re: (スコア:0)
>「やる、やらないにかかわらず詐欺は発生している」のに「なりすましは絶対にない」
「詐欺は発生している」+「なりすましはない」なら
東京都自身が詐欺を行っていると自ら宣言した。大事な都の収入源であると(あれ?)
#とあるネトゲで、不正アイテム誤爆アカウント剥奪事件が起きた時に
#運営は誤爆を認めた上で「判定プログラムのバグではない」と公式発表した。
#バグじゃないなら、誤爆だと判っていてアカウント剥奪したのかと騒ぎになった。
#「バクではないが、判定は間違っていた」・・・という事らしい。
SMSで詐欺なんて昔からあったじゃん (スコア:0)
架空請求なんていくらでもあっただろ
Re:SMSで詐欺なんて昔からあったじゃん (スコア:1)
これまでは「都(国、役所)がSMSでこのようなメールを市民に送ることはありませんので騙されないようにご注意ください」で済んでたのが、「届いたSMSが詐欺かどうかはじっくり考えて判断してね」になるわけ。
アホな市民にとってどっちが難易度高い?
Re: (スコア:0)
アホな市民はどんな手段で来たって信じるから同じ
気にする奴は確認するから同じ
そんなにリスクが変わるとは思えない
Re: (スコア:0)
それはアホの意見ですな。リスクは変わるでしょう。
Re: (スコア:0)
「都(国、役所)がSMS、メール、iMessage、RCS、+メッセージ、LINE、facebookメッセージ、Viber、(中略)でこのようなメッセージを市民に送ることはありませんので騙されないようにご注意ください」って言うの?
「どんな手段であれ届いたメッセージが詐欺かどうかはじっくり考えて判断してね」と言う方がよっぽどマシだな。
Re: (スコア:0)
今までどおり郵便による書面以外は全部詐欺って言えればいいんじゃないの?
Re: (スコア:0)
それで済まそうとすると、今度は郵便による詐欺が活発になるだけ。
「どんな手段であれ届いたメッセージが詐欺かどうかはじっくり考えて判断してね」と言い続けるほかない。
「J-CASTの記者の私はこう考えます」 (スコア:0)
っていうのを初めに書けよ
結論から記事を書くな
いいんじゃないですかね (スコア:0)
郵送より経費削減できるなら。
Re: (スコア:0)
ならEmailの方が安いよね。SMS高い・・・
S/MIMEとかで署名つけて送るのがベストかと。銀行みたいに。
とはいっても、一般人は署名とか理解できないだろうし意味ないかな。
HTTPSは気にする人増えたけどEmailはさっぱりだね。
Re: (スコア:0)
全体から見て一番効率的でコストがかからないのは「催告しない」ことだったりします。
Re: (スコア:0)
なわけないやろー。延滞金つくのに。
住民票移さずに4年近くシカトとしてたら倍ぐらいになってましたわ。
移した瞬間にお手紙がきたので、
ああこれは逃げられないと観念して払いましたとさ。
Re: (スコア:0)
何を言ってるんだ。
延滞金着くんだから税務署は儲かる一方だろ。
さらに督促状に掛かるコストもカット出来るし。
Re: (スコア:0)
厳密に言えば、いわゆる「督促状」は必ず郵送や持参しなければなりません。
法律上、紙で送らないと効力が発生せず、差押などの滞納処分ができないからです。
今回のSMSは、いわゆる「催告」かと思います。
催告は、極端な言い方をすると単なる脅しであって、どうやって脅せばどれだけびびってくれるかという費用対効果で考える必要があります。
一般的には、SMSは費用が安く、確実に携帯に届くので、費用対効果は高いと思われます。
まあ、催告の費用を最も安くあげるには催告せずに差押ればいいのですが、差押の人件費が増えてしまうので、初期には催告を入れて脅しましょうというのが効率的な方法です。
フラグにしか見えない (スコア:0)
「なりすましは絶対にない」
いや、絶対とか言っちゃうのはマズイでしょ。
予想では、問題が出た時に使う単語は「想定外」ね。
Re: (スコア:0)
もともとは「SMSの発信電話番号は都税事務所にする。都税事務所を発信者番号にした詐欺は絶対にない」って意味の「なりすまし」だからね。hylomが省略しすぎてるだけであって、絶対ないって言ってても問題ないケースでしょ。
Re: (スコア:0)
SMSって発信者偽装できないの?
どんどんやるべき (スコア:0)
ダウト。最近ドコモを装ったフィッシングSMSが話題になったばかり。SMSの発信元は偽装できる。
ドコモを装ったフィッシングSMSにご注意ください! | お知らせ | NTTドコモ [nttdocomo.co.jp]
ただ、ITジャーナリストの三上洋も過剰反応。SMSでも電話でもメールでも郵便でも極論すれば発信元を偽装できるので、
というのはその通り。三上某、Twitterの素人意見に流されすぎじゃね?
詐欺に「活用」 (スコア:0)
ここは、詐欺に「利用」されるとするのが適当ではないだろうか
#まるで有効活用されるような語感がするのは自分だけ?
SMSを受信できる環境にあるなら (スコア:0)
まず携帯やスマホを差し押さえしろよ
Re: (スコア:0)
実際に差し押さえると生存権がどうのって騒ぐくせに。
Re: (スコア:0)
「俺の気に食わないことがなくなれ」と泣いてるだけの赤ちゃんみたいなものだよ。ほっとけ