パスワードを忘れた? アカウント作成
13950284 story
政府

東京都がSMSで納税催告、詐欺に活用される可能性があるとして識者から懸念の声 84

ストーリー by hylom
東京都側の謎の自信がおそろしい 部門より

東京都が税金未納者に対し、SMSを使った督促を行うことを発表した(J-CASTニュース)。

今までは電話や訪問を行って督促を行っていたが、新たにSMSも活用するという方針だそうだ。これに対し、詐欺に使われる可能性もあるとの指摘が出ている。いっぽう東京都側は、なりすましは絶対にない、「やる、やらないにかかわらず詐欺は発生している」などと主張しているようだ。

  • by Anonymous Coward on 2019年07月04日 17時12分 (#3645941)

    #3645858 [srad.jp] のように、

    SMSの発信元は偽装できる。

    といった書き込みが色々されているようですが、日本国内ではSMSの発信元の電話番号を偽装した場合、廃棄されるので偽装できません。

    のようなケースは、悪意のあるSMSの Alphanumeric Sender ID が "NTT DOCOMO" となっているので、ドコモ公式SMSと同じスレッドになっているだけです。
    SMSの発信元の電話番号の偽装ではありません。

    Alphanumeric Sender ID が何であるのかは、日本語の情報サイトは少ないですが ↓ が分かりやすいかなと思います。
    https://twilioforkwc.zendesk.com/hc/ja/articles/360000013181 [zendesk.com]

    で、Alphanumeric Sender ID が "NTT DOCOMO" な SMS の発信元の電話番号を確認すれば、なりすましかどうかがわかるかという点については、なりすましかどうかの判別は不可能です。

    何故ならば、Alphanumeric Sender ID で SMS を送った場合、発信元の電話番号はデータとして受信者に渡らないからです。

    SMSはマルチバイトでは70文字まで、1バイト文字だけでも160文字までと制限されているような原始的な仕組みになっており、
    Alphanumeric Sender ID か発信元の電話番号のどちらかしか通知されないわけですね。

    じゃあ、Alphanumeric Sender ID として電話番号を送ったらどうなるのか、と思うかもしれませんが、それはキャリア側のシステムでブロックされます。
    つまり、実在の電話番号を詐称することはできません。

    ただし、Alphanumeric Sender ID として5桁の数字が使われる場合 [ex-sms.com] もあるので、数字のみなら電話番号というわけではなく、
    実在の電話番号 ("0901234****" のような番号) は詐称できないとお考え下さい。

    ってことで、"NTT DOCOMO" のような Alphanumeric Sender ID を使ったドコモが馬鹿でセキュリティを分かっていないということです。
    東京都のように発信元を電話番号にして、それを公開するというのは理にかなっています。
    つまり、"NTT DOCOMO" を詐称したSMSは送ることができるが、東京都の電話番号を詐称したSMSは廃棄されるということです。

    日本国内のネットワークでは、発信元が実在の電話番号の場合、詐称できない(キャリアで廃棄される)仕組みになっているからです。
    海外ネットワーク経由は詐称できる場合がありますが、日本国内の電話番号を詐称したSMSは日本国内のネットワークで廃棄されます。

    ここに返信
    • by Anonymous Coward

      へぇ。けっこうセキュアなんだね。

      でも、発信者番号の詐称については防げるのは分かったけど、東京都を詐称した詐欺自体は防げないのよね…。
      無論、発信者番号が異なるので分かる人にはすぐ分かるのだろうけど、騙される人は調べる能力が無い人だからね。

      今まで使われてなかったSMSでの督促、という経路が増えたことで、詐欺の経路も増えた、ってのが問題なんだな。
      従来は、SMSで督促は詐欺!と切り捨てれば良かったわけなので。

    • by Anonymous Coward

      SMSに差出人を偽装できる脆弱性、Apple「iMessageを使え」 [security.srad.jp]なんてのも昔ありましたが、さすがに修正済みでしょうかね。

      それ以前の問題として、他の人も指摘しているように発信者電話番号は偽装できなくても、よほどわかりやすい番号で周知しないと贈ってきた発信元の電話番号が本当に都税事務所のものかは普通分からないという問題がありますね。

      0の代わりにOを使うとか1の代わりにlを使ってAlphanumeric Sender IDを電話番号っぽく見せる手もありそう。

  • by Anonymous Coward on 2019年07月04日 14時21分 (#3645819)

    ただこれまで電話で詐欺をしていたSMSに移るだけな気がする

    ここに返信
    • by Anonymous Coward

      どちらかというとメールじゃね。

      今までは「メールやSMSでは振込請求することはありません。もしあればそれは詐欺です」
      と言えたのが,本物も混じるので、偽物がより本物っぽく見えることは問題だな。

      電話での振り込め詐欺とメールやSMSでの振り込め詐欺は、ノウハウレベルでは大違いだろううな。
      メールは自動化して大量にばらまけるが、電話と違ってリアルタイムで話して相手を説得する手は使えない。

  • by Anonymous Coward on 2019年07月04日 14時25分 (#3645823)

    「やる、やらないにかかわらず詐欺は発生している」のに「なりすましは絶対にない」って、
    どういう事?
    「SMSを使った納税催促の詐欺は発生するけど、なりすましでの詐欺は絶対にない。」
    って事?

    ここに返信
    • by Anonymous Coward on 2019年07月04日 14時29分 (#3645828)

      行間は読めなくてもリンク先の記事を読めばわかる

      > 「なるべくいろんな連絡手段を取りたい。従来の手段ではなかなか連絡が取れない時、携帯電話番号がわかれば送信することできるSMSという手段をとった。(メッセージを)送信する仕組みで、都税事務所の代表番号を発信元にして送信することができるのも選んだ一つになる。そこについては絶対なりすましはできない」

      の一部を切り取って煽ってるだけやな

      • by Anonymous Coward on 2019年07月04日 15時11分 (#3645859)

        一部を切り取っている、というのも切り取ってる感じ。

        なりすましされるかされないかは、なりすましされる側(ここでは東京都)が決めることじゃないんだよ。
        なりすまそうというやつが決めること。

        そして指摘している人は、そういうなりすましを行うネタに使われるぞって警告してんだよね。

        ほら、市民(都民)ってアホな人もいるじゃない?
        どんなに強く「こういうのは詐欺だから気をつけろ」って言っても詐欺に騙されるんだから、「東京都がSMSで催促することが実際にある」というだけで騙されるリスクは跳ね上がるんだよ。

        やってもやらなくても詐欺は行われているのは確かだが、だからといってもっと騙されやすいようにするネタを追加しなくてもいいじゃない。ってこと。

        • by Anonymous Coward

          東京都がなりすましされないと言ったのは「発信者番号はなりすましできない」なんですが、
          悪人がやろうと思ったらSMSで発番なりすまし可能なの?

          そんなこと言ったら
          「発信者番号は」を取り除いて報道することで、
          あたかも東京都が「なりすましできない」と言ったように報道するほうがまずいおかしいと思うんだが
          「ネタに使われるぞ」って言いたいだけならそんなゆがめた話を報道する必要なくない?

          また正直騙される奴は「東京都がSMSで催促することが実際にある」
          なんて聞いたことがあるとは思えないし、
          それでリスクが跳ね上がるとは思わんな

          仮に聞いたことがあるかどうかが問題であるなら、
          こうやって誇張混ぜて報道することがかなりリスクあげてるんじゃないの?

          • by Anonymous Coward

            こういうなりすまし [impress.co.jp]があるようだから、やろうと思えばできるんじゃないかな

            このなりすましがどういう状況かわからないけど(例えば電話番号を見れば詐欺とすぐわかるとか)、少なくとも「"発信者番号は"なりすましてない」と言っても無駄なのはわかるよね。

      • by Anonymous Coward on 2019年07月04日 17時32分 (#3645961)

        海外のプロキシだかなんだか通すと発信者番号は偽装出来るって、かなり前に話題になった気がしたんだけど、もう塞がれたのかな?
        どちらにしても、「そこについては絶対なりすましはできない」は虚偽だし、詐欺師の口上に真実味を持たせるみたいで、最悪の発言ですね。

        まぁ、嘘をつくのはどうかと思うが、SMSでの請求は東京電力でもやってたりするので、未払い通知という意味では良いと思う。
        ただし、支払い方法や、連絡先を付記するのは悪手なので、その辺をきっちりやって欲しいですね。

      • by Anonymous Coward

        ありがとー。リンク先読んできた。

        hylomにしてやられたのか・・・。おのれぇ。

        #リンク先を読まない行為は棚上げ中です

        • by Anonymous Coward

          誤字だけならかわいいもんだが、このような悪意を感じられる切り取りまでするのは
          さすがにどれも恣意的なものなのではないかと思わざるを得ない。

        • 真偽確認には別ルートで正しい電話番号知ったうえで
          受信者が(脳味噌で)判断しなきゃならない
          そんなことできない(やってない)からあれだけ
          オレオレ詐欺が蔓延しているわけで、
          そもそもオレオレ詐欺で使われているメディアに本物が乘るのって
          どーよ、と思うのだけど。
          早晩、この杞憂が正しいかどうかはっきりするだろう

          • by Anonymous Coward

            それについても元記事でふれられてるで

          • by Anonymous Coward

            絶対に行政にしか取得できそうになく,
            分かりやすい3桁か4桁の番号とかなら
            まだ確認コストが低くて可能性はありそう

            それでも,そもそも発信者番号なんか確認せず,
            「都がSMSで催促をしている」という又聞きの知識だけで
            本物に違いないと判断する人たちが相当数いるんだろうけど。

      • by Anonymous Coward
    • by Anonymous Coward

      >「やる、やらないにかかわらず詐欺は発生している」のに「なりすましは絶対にない」

      「詐欺は発生している」+「なりすましはない」なら
      東京都自身が詐欺を行っていると自ら宣言した。大事な都の収入源であると(あれ?)

      #とあるネトゲで、不正アイテム誤爆アカウント剥奪事件が起きた時に
      #運営は誤爆を認めた上で「判定プログラムのバグではない」と公式発表した。
      #バグじゃないなら、誤爆だと判っていてアカウント剥奪したのかと騒ぎになった。
      #「バクではないが、判定は間違っていた」・・・という事らしい。

  • by Anonymous Coward on 2019年07月04日 14時38分 (#3645834)

    架空請求なんていくらでもあっただろ

    ここに返信
    • by Anonymous Coward on 2019年07月04日 15時14分 (#3645862)

      これまでは「都(国、役所)がSMSでこのようなメールを市民に送ることはありませんので騙されないようにご注意ください」で済んでたのが、「届いたSMSが詐欺かどうかはじっくり考えて判断してね」になるわけ。

      アホな市民にとってどっちが難易度高い?

      • by Anonymous Coward

        アホな市民はどんな手段で来たって信じるから同じ
        気にする奴は確認するから同じ

        そんなにリスクが変わるとは思えない

        • by Anonymous Coward

          それはアホの意見ですな。リスクは変わるでしょう。

      • by Anonymous Coward

        「都(国、役所)がSMS、メール、iMessage、RCS、+メッセージ、LINE、facebookメッセージ、Viber、(中略)でこのようなメッセージを市民に送ることはありませんので騙されないようにご注意ください」って言うの?

        「どんな手段であれ届いたメッセージが詐欺かどうかはじっくり考えて判断してね」と言う方がよっぽどマシだな。

        • by Anonymous Coward

          今までどおり郵便による書面以外は全部詐欺って言えればいいんじゃないの?

          • by Anonymous Coward

            それで済まそうとすると、今度は郵便による詐欺が活発になるだけ。

            「どんな手段であれ届いたメッセージが詐欺かどうかはじっくり考えて判断してね」と言い続けるほかない。

  • by Anonymous Coward on 2019年07月04日 14時40分 (#3645837)

    っていうのを初めに書けよ

    結論から記事を書くな

    ここに返信
  • by Anonymous Coward on 2019年07月04日 14時46分 (#3645839)

    郵送より経費削減できるなら。

    ここに返信
    • by Anonymous Coward

      ならEmailの方が安いよね。SMS高い・・・
      S/MIMEとかで署名つけて送るのがベストかと。銀行みたいに。
      とはいっても、一般人は署名とか理解できないだろうし意味ないかな。
      HTTPSは気にする人増えたけどEmailはさっぱりだね。

      • by Anonymous Coward

        全体から見て一番効率的でコストがかからないのは「催告しない」ことだったりします。

        • by Anonymous Coward

          なわけないやろー。延滞金つくのに。
          住民票移さずに4年近くシカトとしてたら倍ぐらいになってましたわ。
          移した瞬間にお手紙がきたので、
          ああこれは逃げられないと観念して払いましたとさ。

          • by Anonymous Coward

            何を言ってるんだ。

            延滞金着くんだから税務署は儲かる一方だろ。
            さらに督促状に掛かるコストもカット出来るし。

    • by Anonymous Coward

      厳密に言えば、いわゆる「督促状」は必ず郵送や持参しなければなりません。
      法律上、紙で送らないと効力が発生せず、差押などの滞納処分ができないからです。
      今回のSMSは、いわゆる「催告」かと思います。
      催告は、極端な言い方をすると単なる脅しであって、どうやって脅せばどれだけびびってくれるかという費用対効果で考える必要があります。
      一般的には、SMSは費用が安く、確実に携帯に届くので、費用対効果は高いと思われます。
      まあ、催告の費用を最も安くあげるには催告せずに差押ればいいのですが、差押の人件費が増えてしまうので、初期には催告を入れて脅しましょうというのが効率的な方法です。

  • by Anonymous Coward on 2019年07月04日 15時05分 (#3645852)

    「なりすましは絶対にない」
    いや、絶対とか言っちゃうのはマズイでしょ。
    予想では、問題が出た時に使う単語は「想定外」ね。

    ここに返信
    • by Anonymous Coward

      もともとは「SMSの発信電話番号は都税事務所にする。都税事務所を発信者番号にした詐欺は絶対にない」って意味の「なりすまし」だからね。hylomが省略しすぎてるだけであって、絶対ないって言ってても問題ないケースでしょ。

      • by Anonymous Coward

        SMSって発信者偽装できないの?

  • by Anonymous Coward on 2019年07月04日 15時10分 (#3645858)

    都税事務所の代表番号を発信元にして送信することができるのも選んだ一つになる。そこについては絶対なりすましはできない

    ダウト。最近ドコモを装ったフィッシングSMSが話題になったばかり。SMSの発信元は偽装できる。

    ドコモを装ったフィッシングSMSにご注意ください! | お知らせ | NTTドコモ [nttdocomo.co.jp]

    ただ、ITジャーナリストの三上洋も過剰反応。SMSでも電話でもメールでも郵便でも極論すれば発信元を偽装できるので、

    たとえば詐欺みたいな郵便とかも同じようにあるが、郵便を使わないってわけにいかないというのと同じ

    というのはその通り。三上某、Twitterの素人意見に流されすぎじゃね?

    ここに返信
  • by Anonymous Coward on 2019年07月04日 16時05分 (#3645886)

    ここは、詐欺に「利用」されるとするのが適当ではないだろうか

    #まるで有効活用されるような語感がするのは自分だけ?

    ここに返信
  • by Anonymous Coward on 2019年07月04日 16時11分 (#3645891)

    まず携帯やスマホを差し押さえしろよ

    ここに返信
    • by Anonymous Coward

      実際に差し押さえると生存権がどうのって騒ぐくせに。

      • by Anonymous Coward

        「俺の気に食わないことがなくなれ」と泣いてるだけの赤ちゃんみたいなものだよ。ほっとけ

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...