良くも悪くも小島ゲームなDEATH STRANDING

全実績解除

全実績を解除し、プレミアム配送の Legend of Legend of Legend も500個取得しました。達成しちゃうと、割とスッキリして配送依存症も寛解しました。
モリーチップの全取得で全実績解除かと思っていたら、なぜか一つ足りない。必死になって確認したら、ポーターとの物々交換を達成していませんでした。ポーターからアイテムを貰ったことはあったのですが、あげてなかったのが盲点でしたね。
実績解除と共に Legend の500個も達成したのですが、途中から実績のため難易度をベリーハードにしたのもあり、Legend of Legend of Legend が350個くらいと中途半端になってしまいました。150個ほどこなす必要がありますが、雪山やBT地帯をトラックで輸送しないと間に合わない制限時間大量輸送は終えているので、残りは消化試合みたいなものです。雪山以外はトラックを使えば一挙配送できますし、雪山もジップライン網を構築しているので、そこまで手間無く、なにより微妙にやり残した感じを引きずっていたので、Legend of Legend of Legend も完遂させました。

ストーリーは良くも悪くも小島ゲーム

ストーリーは良くも悪くも小島ゲーム。BBやアメリのミスリードに引っかかりましたが、なるほどと思わせる内容で唸りました。全体を通して、絆をテーマとしておりアメリカを繋ぎ直すコンセプトは、現在のアメリカの情勢を反映しており、上手い作りだなと思います。また、偶然ではありますがCOVID-19 の影響で世界がバラバラなのとリンクしているのも面白いです。プレイ時期によっては、自粛期間中の人もいたでしょう。プレッパーみがありますね。COVID-19 で人との繋がりの他、配送の重要性も増しましたし、DEATH STRANDING のテーマが浮き彫りになったのも興味深いところです。

対称性の破れとか、それにまつわるカイラルとか、対消滅とか、ビーチとか、宇宙が生まれた理由とかとか舞台設定は、色々なところでうまいことを機能してます。時雨とか都合が良すぎますけど、荷物ケースや施設の劣化速度の説明付けとしては、直感的で分かりやすいです。オープンワールドにおいて雨は嫌な天候ですが、DEATH STRANDING でもやはり避けたい天候です。
小島ゲームで貫かれてきたけども矛盾を抱えていた非殺傷の理由付けがなされていたのが印象深かったです。DEATH STRANDING の世界では、人が死んで放置するとネクローシスが起こるため、おいそれとは人を殺せません。ただまぁ、トラックで轢いても死なないってどういうこと?とは思いますけど。ちなみに、難易度ノーマルならともかく、ベリーハードでテロリス相手にはトラックでツッコむのは危険。ベリーハードでは、遠くからグレードランチャーで麻酔弾を打つのが楽だと思います。

東部に辿り着いた後に、スタート地点にとって返す行程には興奮させられました。過去の自分、そして他のプレイヤーたちの助けを借りながら進んでいくので、本作のテーマである「繋がり」をまざまざと感じさせます。他のプレイヤーとの繋がりは、DARK SOULSシリーズを元に発想されているのでしょうが、他のプレイヤーとの関わりは NieR:Automata が思い出され、また他のプレイヤーは平行世界の存在である点は、BRAVELY DEFAULT も想起させました。
本作では施設の共有など、他のプレイヤーとの繋がりが強調されていますが、もう少々、平行世界のサム達との関係性や、平行世界の存在を強く押し出してもよかったんじゃないかなと。特に、ゲームを途中で辞めてしまった人達における世界を示唆してもよかったのではと。

小島ゲームのうんざりするところ

これまでのメタルギアシリーズの設定を引きずる必要が無いのもあり、舞台設定はとても上手く機能しています。しかし、
あいかわらずゲーム開始と、ゲーム終盤にムービーが多いのはうんざりしました。さっさとゲームを始めさせ欲しいです。終盤は一体どこで切ればいいのか。ビーチに閉じ込める演出は東部からとって返すのと比べると真逆でイライラさせられました。プレイヤーとサムの感情がリンクしてはいるんですが、ただ不快感が募るだけです。

クリフとサムの関係性、アメリの真実には唸らされましたが、結局はビックボス(あるいはザ・ボス)の焼き直しだったのが残念でした。二人のブリジット、つまりブリジットとアメリは、MGSV で明かされた二人のビックボスそのものです。メタルギアシリーズにおいて、二人のビックボスの構想は小島監督の中にずっとあったのだろうと思います。メタルギアにしてもメタルギア2にしても、そしてMGS3のスネークとビックボスとの齟齬はずっとありましたが、二人のビックボスが明示されたのは MGSV TPP です。DEATH STRANDINGにおいても、アメリはブリジットの娘ではなく、同一人物でした。二人のビックボスが微妙に異なる道を進んだように、ブリジットととアメリも近いようで、異なる道を進んでいます。

サムにしてみると、姉として存在していたアメリカが親のような存在でしたが、ブリジットと同一ならば義理とはいえ親そのものです。サムの出生はややもすると人口的なため、リキッド、ソリッドに近いものがあります。また、サムとアメリの関係性は、ネイキッド・スネーク(ビックボス)とザ・ボス(ザ・ジョイ)の関係性でもあります。メタルギアシリーズ以後の作品で、それと同じ疑似親子の話を見せられるのは、他の話が展開できないのだろうかと。舞台設定はうまいのに、本筋はビックボスの焼き直しを見させられるのは残念です。メタルギアシリーズは、MGS2で提示されているように、繰り返しによる刷り込みなので、同じ設定でいいと思うのです。同じシリーズなんだから、お約束でいいわけです。DEATH STRANDINGで、これまでのお約束を見させられるのは、正直萎えました。

配送ゲームとしてはいい塩梅だがストーリーとはマッチしていないマップサイズ

配送ゲームとして考える、マップの広さは申し分ないです。ただし、アメリカを繋ぎ直すコンセプトからすると、マップの広さがそれとマッチしていません。ストーリーと照らし合わせるとデス・ストランディング現象でアメリカって縮んだの?と思うくらいには、スケール感がマッチしていません。オープンワールドとして考えると、決して狭いマップではないのですが、アメリカ合衆国としては狭すぎます。配送ゲームとしては面白いのですが、この齟齬がずっと気になっていました。
配送ゲームとしては、最初は時間がかかりますが、配送を繰り返すにつれて道を覚えるし、ゲームが進につれバイクやトラックなどの乗り物、国道やジップラインなどの施設が解放されていくので、移動がスムーズになります。最終的に、トラックと国道を使えば、大体15分弱でマップの端から端に到達でき、大量輸送が可能です。雪山にジップライン網を作るのは楽しかったです。時雨により施設が劣化するため、保守も必要ですが、それも含めて楽しめました。配送のついでに保守することもできますが、私は保守をする場合は保守に集中していました。配送時間も、ストレスにはなるけども配送依存症であれば、そのストレスを上回る快感が得られるように調整されているように思います。

BT戦がつまらない

配送ゲームなので、ステルスゲームとは違う基軸にありながら、ミュールやBT地帯としてステルス要素を上手いこと残していているのは面白かったです。まぁ、ミュールやテロリス関連の依頼は面倒なので、先に制圧しておいてまとめて受注してましたけど。BTは諸々の事情で戦うのが面倒なので、臍帯を切りまくっていました。

戦闘関連の不満としては、BT戦が本当に面白くありません。クリフとの戦闘は、これまでの小島ゲームを踏襲した鬼ごっこのようで面白いのですが、BT戦はストレスの塊です。先ず、BTに引き込まれるのがストレスだし、足元が不自由な場所で戦うのもストレスでしかない。また、最も有用かつ有効な攻撃方法がグレードポーチに入れた血液グレネードってのも地味。爽快感がない。
BT地帯は、そもそもBTに接触しないように進むので、カイラル結晶を大量に集めたい等の動機がないとBTと率先して戦う理由は無いのですが、ストーリー進行で強制的に戦うことがあります。特に終盤は巨大なBTと二度も戦う必要があります。特に、エッジ・ノット・シティの巨大BT戦は輪をかけてつまらなかったです。サムが死んで他のプレイヤーが助けに来る演出はいいのですが、死んでも復活できちゃうので、復活の度に作業感が増します。メタルギアくらい出せと思いました。

その他、面白かった点

サムへの指定依頼にストーリーがあるのは当たり前で、ピザの配達などは中々面白いのですが、それ以外の指名無し依頼にも、それぞれが呼応し合っていて面白かったです。プレッパー同士の繋がりなどが見えてきます。また、同じアイテムが色々な所を行き来していくのも面白いです。
東部と中部の配送が連動しているものは多くはないのですが、時雨農場のビール配送は、レイク・ノットからポート・ノットを経て、キャピタル・ノットまで届けることになります。ビールを大量にかつ、制限時間内に届ける必要があるので大変なミッションです。特に最後は、Sランクを取るにはBT地帯をトラックで抜けないと間に合いません。

配送ルートを模索するのも楽しかったのですが、国道が通ってしまうと、国道ベースになってしまいます。ゲームとしては徒歩配送の方が楽しいですが、効率を考えると国道ベースのトラック輸送が最適解です。一部のミッションは、トラックを使わないとSランクは取れませんし。その点、山間部は自分でジップライン網を構築する必要があったので楽しかったです。山間部は基本的に、マウンテン・ノット・シティ付近で配送が完了しますが、微妙に気象観測所あたりまで配送範囲だったので、そちらまでジップライン網を延ばしました。当初は、カイラル通信量が足りないので最適化が大変でした。山間部は、クール便なども配送の種類が多めで面白かったです。クール便をヒートユニットで劣化させてしまうのを、何度かやらかしてしまいましたが。
ジップライン網作りはたのしかったのですが、レベル3の建設に化学物質が1440もいるのは多すぎだと思います。保守だけを考えたら、作り直した方がコストが安いです。スピリチャリストへの依頼をたくさんこなせば、可能ではあるんでしょうが。

いつもの小島ゲーム

まとめると、配送ゲームとしてはとても楽しく、他のプレイヤーとの繋がりを感じさせる仕組みも面白かったのですが、ストーリーはメタルギアシリーズの焼き直しでしかなく、ゲーム開始と終盤でムービーばかり挿入される、これまでの小島ゲームだなと言った感じ。舞台設定は、メタルギアシリーズの矛盾を抱えなくて良くなった分だけしっかりしているのに残念です。

肉と引用とネタバレ

キン肉マンの「ネタバレ」について、作者の一人出る嶋田氏が苦言を呈したのに端を発し、週刊プレイボーイが法的措置をちらつかせる(かのような)声明をだし、物議を醸しています。月曜日も、実感として感想ツイートが減ったように思います。
本稿では、Twitterで漫画のコマを引用する場合の是非を実例をあげつつ、週刊プレイボーイ編集部の声明について考えていきます。先ずは、著作権法上の「引用」について述べます。

著作権法上の「引用」

一般的な「引用」と著作権法上の「引用」は意味が異なります。一般的な「引用」は他人の言説などを自分の表現の中で用いることですが、著作権法上の「引用」は、一定の条件を満たした上で権利者の著作物を無断で利用できる権利を意味します。今回は、著作権法上の「引用」が問題となるので、先ずはそれから説明します。著作権法上の「引用」については、同法第32条に明記されています。

32条

  1. 公表された著作物は、引用して利用することができる。この場合において、その引用は、公正な慣行に合致するものであり、かつ、報道、批評、研究その他の引用の目的上正当な範囲内で行なわれるものでなければならない。
  2. は本稿とは関係ないので省略

第48条に、引用する際は出典を明記すること、基本的には著作者名を明らかにすることが明記されています。第32条のやっかいなところは引用は可能だけども、「公正な慣行に合致するもの」かつ「引用の目的上正当な範囲内で行なわれるもの」の両方が必須な点。この条件は、条文には明記されていませんが、文化庁には以下のように記されています

ア 既に公表されている著作物であること
イ 「公正な慣行」に合致すること
ウ 報道、批評、研究などのための「正当な範囲内」であること
エ 引用部分とそれ以外の部分の「主従関係」が明確であること
オ カギ括弧などにより「引用部分」が明確になっていること
カ 引用を行う「必然性」があること
キ 「出所の明示」が必要(コピー以外はその慣行があるとき)

漫画の引用

漫画の引用に関する考え方として、漫画批評をやっている金田淳子さんによる マンガの引用と著作権について書いてみる|金田淳子|note を紹介します。金田淳子さんは法律の専門家ではありませんが、自身の批評と交えて考えを述べておられるので、分かりやすいかと思います。

「引用」においては、「公正な慣行」がやっかいで、漫画においては判例などが少ないため専門家でも意見の分かれる所ではありますが、
「脱ゴーマニズム宣言事件」の判例からすると、絵が必要ならば引用は可能であるとすると考えて問題ないでしょう。

Twitterで画像利用

イラストをまとめサイトなどに無断転載された事例では、まとめサイト側に賠償が命じられる判決があります。賠償が命じられたまとめさいとは 該当のツイートを、TwitterAPI 等を利用せずにスクリーンショットで掲載していたため、妥当な判決でしょう。

一方で、最近話題になったのが、RTでのトリミングが著作人格権侵害となった事例。無断転載された画像をツイートしたユーザーが著作権侵害である点は当然でしょう。ただ、裁判所がRTした人も著作人格権侵害したとして、メールアドレスの開示を認めたのはやや解せません。
無断転載されたツイートをRTした際に画像がトリミングされるため、それが著作人格権侵害にあたるのは理解はできます。これに関しては Twitter の仕様に問題があると考えます。ユーザーにトリミング域を調整できる選択肢を与えるべきです。侵害した主体がRTしたユーザーにあるのも、その通りだとは思うのですが、その責任は Twitter の仕様にもあるわけで、RTしたユーザーのメールアドレスの開示を認めるのはやり過ぎに思えます。

もちろん、RTは転載行為のため、RTした内容に問題があればRTしたユーザーにも責任があるでしょう。RTでも名誉毀損になるとの判決も出ています。
ただし、RTする際に投稿された内容が、無断転載されたものかまでをユーザーが判断する必要がある、あるいはトリミングされた結果、著作者名が消えてしまったことまで確認する必要があるのかは、やや疑問に思います。

本題の肉

今回の件に関しては、Web連載をずっと追って来たファンにしてみればハシゴを外された感じではないでしょうか。

「次峰レオパルドン行きます!」のコマを投稿するのは、引用の範疇にはあたらないでしょう。嶋田氏も当初はこの転載を問題視していたように思いますし、多くのファンもその点に異論は無いと考えていたんじゃないでしょうか。

Web連載を生き抜いたキン肉マンは旧キャラを出して盛り上がるのを続けていました。その感想を述べる際に、旧作のコマなどが掲載されることもありました。これに関しては微妙ではありますが、話数などを明示して感想を述べれば「引用」に当たる可能性はあるかもしれません。厳密には著作者名の「ゆでたまご」も明記するべきではありますし、140文字で引用の主従などの条件を満たさない可能性もありますが、議論の残るところです。

議論が残るところであるはずなのに、週刊プレイボーイの編集部が以下のようにぶちかましてきました。

悪質な著作権侵害、ネタバレ行為(文章によるものを含みます)に対しては、発信者情報開示請求をはじめ、刑事告訴、損害賠償請求などの法的手段を講じることもありますので、ご注意ください。

「ネタバレ行為」と非常に曖昧な言葉を使って、法的手段を講じる可能性を訴えるのは、企業の声明として考えられません。さらに、少年ジャンプ+の編集長が雑なツイートをして事態をややこしくしています。

https://twitter.com/HosonoShuhei/status/1303892105190756354

先のRTの例をもちだせば Twitter でマンガのコマを掲載すれば先ず間違いなくトリミングされるため、それをもって著作人格権侵害と攻めるのも可能かもしれません。

ネタバレとは

「ネタバレ」とはなんなのか。「ネタバレ」とは非常に曖昧で。Twitterで何度も俎上になりますが、言葉の意味は曖昧なままです。
そもそも個人によって許容できる「ネタバレ」の幅も異なります。私自身は「ネタバレ」をされても気にはしませんが、嫌う人も多いので公開されて直ぐの映画や、発売直後のゲームの内容はあまりツイートしません。漫画は、コミックスが発売されたら解禁みたいな空気があります。映画だと、地上波公開されたら大体的にOKみたいな了解がある気がします。
映画版ドラゴンクエストである「ユア・ストーリー」は見に行く気はありませんでしたが、「ネタバレ」で見に行く気になりました。そもそも、作品を紹介する際に完全なる「ネタバレ」を避けるのは困難です。余程の信頼関係のある人から紹介されない限り「ネタバレ」なしで作品を体験しようとは思わないはずです。ただ、作品紹介での「ネタバレ」は往々にして「あらすじ」と表現した方が適切です。

今回の件で言えば、「次峰レオパルドン行きます!」はネタバレでしょう。ただ、ミステリーの犯人を述べるほどの悪いこととは思えませんし、法的手段を講じるほどの悪質なネタバレにはないように思います。
「漫画のネタバレ感想で訴訟される」は誤解 Webニュース記者が見た『キン肉マン』騒動 (1/2) - ねとらぼ なる記事も上がっており、内容には概ね賛同しますが、所詮はねとらぼの見解に過ぎまん。本件を納めるには集英社の見解が必要でしょう。

「ネタバレ」とは異なる「バレ」として、「早バレ」というのがあります。発売日以前に雑誌などを手に入れて、その内容を公開する行為を指します。「早バレ」に関しては、「ワンピース」ネタバレサイトの運営者を逮捕 広告収入3億円以上か - ITmedia NEWS のように逮捕者も出ています。内容をバラすだけならまだしも、広告収入を得ているのが非常に悪質です。
「あらすじ」を文章のみで書くのも翻案権に関わるので著作権侵害になり得ます。ただし、Twitter の140文字でどこまで「あらすじ」を語れるかは微妙なところですが。

週刊プレイボーイ編集部の見解をすごく好意的に解釈すれば、このような悪質な「バレ」に対して、法的措置を構図得ると述べているのかもしれません。しかし、その見解はまったく読者やファンの方向を向いていません。嶋田氏とファンとの問題だったはずで、悪徳業者との問題ではなかったはずです。読者に向けた声明の中で、法的措置をちらつかせる以上は、読者に向けた内容としか解釈できず、法的措置される対象は読者であると受け取るのが自然でしょう。すくなくとも、編集部として述べるべき文章ではありません。

最後に

Twitterでの漫画のコマの利用が著作権法上の「引用」にあたるかはケースバイケースでしょう。例えば、漫画コマでリプライし合うのは「引用」には当たらないでしょうが、多くのケースでは著作権者に見つかっていないでしょうし、見つかっても訴えるほどではないと見逃されているのでしょう。日本の著作権法フェアユースの規程はありませんが、この緩さがある意味でフェアユース的に機能しています。

Twitterで感想を述べる際のコマ利用も、引用の要件を厳密に満たしているとは限りませんが、この辺は実際の判例がないので意見の分かれる所です。興味本位では、嶋田氏が法的措置をとり判例を残して欲しいですね。
現在の情況は、嶋田氏や週刊プレイボーイが述べる「ネタバレ」の範囲が曖昧なため、感想ツイートが萎縮されてしまった状態です。あるいは、沈黙は抗議の意味もあるように感じます。
本件を納める納めないに拘わらず、集英社の広報なり、法務なりが何かしら見解を述べる必要があると考えます。

Nature Remo が Google Home の Direct Actions に対応していた件

有料の IFTTT Pro がスタートするのにともない、無料アカウントで利用できるアプレットが3つまでとなり、事実上の有料化になりました。
Google の Home mini からテレビを操作するために Nature Remo と IFTTT を利用していました。IFTTT を使わない場合は、「オーケー、グーグル。 ネイチャーリモを使ってテレビをつけて」と毎度毎度「ネイチャーリモを使って」という必要があり面倒。Google Home でルーティンを設定すれば「ネイチャーリモを使って」を省くことは可能ですが、8チャンネルをスマホで入力するのが面倒なので、PCからアプレットを設定できるIFTTTを使っていました。

チャンネル毎にアプレットを登録しており、無料アカウントの3つでは運用できないので、ルーティンの設定をしようと思っていたら、今年の7月に Nature Remo が Google の Direct Actions に対応していたようです。つまり、「ネイチャーリモを使って」を省いて、「オーケー、グーグル。 テレビをつけて」だけで操作可能になっていました。チャンネルや音量操作にも対応しているので、事実上 IFTTT が不要になりました。IFTTT をテレビの操作だけに使ってる人は少ないとは思いますが、IFTTT を Google Home や Alexa と連携している場合は、IFTTT を必要としないケースがあるかもしれません。

ドコモ口座の不正送金、9月10日の記者会見でわかったこと

9月10日16時30分より、ドコモ口座を利用した不正送金に関する記者会見が行わ、新たな事実が明らかになった。「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた - 最終防衛ライン3 に追記する形で投稿しようと考えたが煩雑になるため、新たにエントリーを投稿する。

記者会見は YouTube などにライブ映像のアーカイブが残されている。

【LIVE】不正出金被害 NTTドコモ緊急会見

先ず、ドコモ口座の運用に問題がったことを認めた。10日正午の時点での被害額は1,800万円で、件数66件。11行にて不正送金が確認されている。ただし、被害にあった銀行については会見で個別に公表しなとした。「銀行口座番号、暗証番号、生年月日」(場合によっては生年月日は不要)のみでドコモ口座と連携できる銀行での被害が報告されている。
補償については銀行と協議して進める。この点は、ニュアンスが曖昧であるが、そもそもドコモ側で正規な送金と不正送金とを区別できないため、銀行からの報告でしか動けないためであろう。補償の割合などについては言及はなかった。

ドコモは、不正入手した銀行口座番号、暗証番号、生年月日などを入手した人物が、ドコモ口座を利用して不正送金を行ったと説明。質疑応答において、不正送金に利用されたアカウントに共通点はないと述べていたが、IPアドレスなどは分析中とも述べており、ドコモは全容を把握していないと推測される。会見によると、ドコモ側から不正送金を確認する術はなく、ユーザーが被害を報告し、銀行で確認する必要があるとのことで、この点から現時点で十分な分析は行われていないことが伺える。

8月末の被害が確認さている。この点は、報道になく驚きであった。一方で、質疑応答ではその件に触れる記者がいなかった。一件あたりの被害額は、月当たりのチャージ金額の限度が30万円であるため、月当たりで最大30万円。8月末から被害にあっている場合は、30万円×2=60万円となり、現在が確認されている被害額では最大となる。ドコモは、d払いで換金性の高い商品を購入していることを確認している。

ドコモはドコモ口座の新規受付を停止しているが、チャージについては停止していない。*1不正でないユーザーの取引の利便性を損ねるとの回答であったが、ドコモは不正送金に利用されるアカウントを特定できないため、そしてそれを今回の会見で述べてしまっているため、安全面を考えればチャージも停止すべきであろう。既に不正送金のため銀行口座に紐付けられてしまったアカウントが眠っている可能性も考えられる。また、8月末からの被害が確認されているが、それ以前から不正送金されている可能性もある。ドコモ口座のユーザーでなくても、またドコモのユーザーでなくても被害にあうため、被害の発覚が遅れた可能性も考えられる。
会見では、被害額に関しては、桁が変わる、つまり億単位になることはないと述べていた。流石に億単位の被害はでないであろうが、ドコモは全容を把握しているわけではないに安易な物言いであろう。少なくとも、 7Pay と同程度の3,000万円くらいになる可能性はあるだろう。

NHKでは、顧客を増やすために手続きを簡単にしたと報道されていたが、会見を見た限り、そもそもセキュリティ面が何も考慮されていなかったように感じられた。前者の方がセキュリティ面を認識した上での顧客拡大のため悪意を感じるが、後者だと今後およびドコモ全体のセキュリティ面が非常に不安である。

dアカウントなどは、ドコモの携帯電話やスマートフォンを利用するドコモのユーザーのみを対象にしていたが、より多くのユーザーにも利用できるようキャリアフリーにした経緯がある。その際に、ドコモの電話番号と紐付けられていたサービスを、メールアドレスのみで利用できるようにした。昨年5月のりそな銀行における不正送金の際は、ドコモ口座はキャリアフリーではなかったが、それにもかかわらずドコモ口座もキャリアフリーと顧客を広げる方に舵を切っている。ちなみに、不正送金以降にりそな銀行とドコモ口座は提携していないが、提携再開に向け現在も協議中とのことであった。
ドコモは、dアカウントなどをキャリアフリーとする戦略の上で、ドコモ口座などが踏み台になる、つまり種々のサービスを不正に利用することを目的としたアカウント取得を想定していなかったと述べた。つまり、そもそも今回のような事例を想定していなかったのだろう。今後は、サービスによってドコモ側が本人確認など行うなど、仕様を変更する予定であると述べていた。

ドコモは、過去に銀行側からドコモ口座の名義と銀行口座の名義が一致しない報告を受けて、システム改修などを行っていることを明らかにした。ドコモの認識としては、銀行口座を持っている=本人、との認識で本人確認を銀行側に依存していたようだ。ドコモは、銀行の本人認証(Web口座振替受付サービスの運用方法)については、銀行側のポリシーの問題で関知しないとのスタンス。つまり、本人認証の甘い銀行とは提携しないなどの判断はしない方針のように感じられた。

会見において、暗証番号などを漏らさないようにと述べていた。今回の事例がリバースブルートだったかは不明である。ドコモはフィッシングなど、種々の詐欺により入手された暗証番号などを利用したと想定しるようだった。ドコモを騙った詐欺が多く、それに対する業務が多いため、フィッシングなどを想定するのであろうが、事例を見るにドコモ口座はリバースブルートが可能そうなシステムである。暗証番号を漏らさないことは重要であるが、そもそも経営陣がリバースブルートなどを理解しておらず、セキュリティ面が非常に不安になる会見であった。

*1:不正利用のあった銀行が個別にドコモ口座からのチャージを停止するなどの対応をしている

「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた

「ドコモ口座」+「Web口座振替受付サービス」の悪用

「ドコモ口座」を利用した不正送金が気になりすぎて自分でまとめてみた。
簡単な時系列から「Web口座振替受付サービス」の実体、「ドコモ口座」の問題点などを述べていきたい。

被害情況については ドコモ口座を悪用した不正送金についてまとめてみた - piyolog が詳しい。
手法は不明であるが、『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は - ITmedia NEWS にあるように、メールアドレスのみで登録できる「ドコモ口座」と、口座番号とキャッシュカードの暗証番号のみで「Web口座振替受付サービス」を利用できる銀行を紐付けて不正送金したのだろうと推測される。
暗証番号や口座番号が不正に取得された可能性も考えられるが、口座番号のみを不正ではない方法で大量に入手することも可能である。大量に開設した「ドコモ口座」から、統計的によく利用される暗証番号でアタックをしかけた可能性もある。誕生日も完全なる秘匿情報ではないため、誕生日やその逆順の暗証番号を利用した可能性もあるだろう。

『ドコモ口座』の不正利用、誰が被害に遭う?→『ドコモ口座』を使ってない人(篠原修司) - 個人 - Yahoo!ニュース にも解説されるように、本件は「ドコモ口座」を開設していないユーザーの方が被害にあう可能性がある。また、開設していても「ドコモ口座」と連携していない銀行口座があれば、やはり被害にあう可能性がある。現在は、「Web口座振替受付サービス」を利用する約半分に当たる銀行が「ドコモ口座」の連携を停止中なため、被害の拡大は抑制されている。ただし、停止前に登録されている可能性もあるため、あまり使っていない口座の残高を確認した方がいいだろう。

簡単な時系列

9月3日にTwitterにおいて「七十七銀行」での不正送金が確認できる。

七十七銀行」は9月4日に HP 上に警告を掲載し5日から「ドコモ口座」の新規受付を停止。

9月8日に、「中国銀行」と「東邦銀行」での被害、「大垣共立銀行」で不正送金の疑いが報告される。
中国銀行」と「大垣共立銀行」は同日8日に新規受付停止。「東邦銀行」は翌9日から。

9月9日に、先の4行に加え13行および「ゆうちょ銀行」、つまり18行で「ドコモ口座」の新規受付が停止される。
18行の中の8行で不正送金が確認されている。「ゆうちょ銀行」では、今のところ不正送金は確認されていないようだ。【9月10日】「ゆうちょ銀行」「イオン銀行」でも被害が確認されている。

「Web口座振替受付サービス」のセキュリティがガバガバ

今回のインシデントは、「Web口座振替受付サービス」のセキュリティがガバガバなところに、「ドコモ口座」の開設にしやすさを悪用した輩がいたために発生したと思われる。被害情況は不明であるが、「docomo」 と 銀行を巻き込んだ事態となっているため影響としては「7Pay」よりも大きいかも知れない。
本件を受けて、「Web口座振替受付サービス」の仕組みが変更される可能性が高い。

「Web口座振替受付サービス」はかなりガバガバである。メガバンクであっても、「りそな銀行」や「ゆうちょ銀行」は「口座番号、暗証番号、生年月日」のみで利用可能である。況んや、地銀をやである。

ドコモ口座とWeb口座振替サービスについて調べてみた - メモ代わりのブログ にあるように、
ワンタイムパスワードが必須なのは「三菱UFJ銀行」と「三井住友銀行」のみ。「みずほ銀行」や、「りそな銀行」はネットバンキングを利用していなくても、口座があれば利用可能。ネットバンキングを利用しない場合、「りそな銀行」は「口座番号、暗証番号、生年月日」、「みずほ銀行」はそれに加えて口座の残高が必要なものの、赤い「三菱UFJ銀行」、緑の「三井住友銀行」と比較すると残念な仕上がりである。そもそも青色の「みずほ銀行」は、ネットバンキングもワンタイムパスワードなしでの利用が可能である。さらにワンタイムパスワードもカード式の乱数表を使用しているあたり、流石の青色「みずほ銀行」である。(乱数表はワンタイムパスワードではなく、第二暗証とのコメントを頂き削除線にて修正。)

「ゆうちょ銀行」も基本的には「口座番号、暗証番号、生年月日」であるが、収納機関によっては生年月日は必須ではないようである。「ドコモ口座」で生年月日が必要なのかは不明。

地銀では「口座番号、暗証番号、生年月日」で利用できる場合が多そうだ。「七十七銀行」や「大垣共立銀行」では「口座番号、暗証番号」のみで利用できる*1

滋賀銀行」では、「口座番号、口座名義、生年月日、暗証番号」が必要だが、口座名義はセキュリティとしては殆ど意味を成さない。

銀行口座を登録する - PayPay を見る限り、「イオン銀行」も「口座番号、暗証番号、生年月日」で「Web口座振替受付サービス」を利用できる。

地銀も含め、「みずほ銀行」、「りそな銀行」、「ゆうちょ銀行」がワンタイムパスワードが必須としないのは、顧客対応である可能性が高い。難しいパスワードを管理できない、ネットバンキングの利用ができない、ワンタイムパスワードの発行手続きができない顧客のために、簡素な方法でWeb口座振替受付サービスを利用し出来るようにいしているのだろうが、簡素の裏返しはセキュリティ的な危険である。
地銀は体力面もあるだろうし、ネットのセキュリティに対して十分に注意が払われていない可能性も考えられる。実際、ネットバンキングは利用可能でも、「七十七銀行」や「中国銀行」のように、ログインパスワードが数字4桁な場合などが見受けられる。

ちなみに、我が故郷である長崎を調べてみたら、ナンバー銀行の方の十八銀行は「口座番号、暗証番号、生年月日」で「Web口座振替受付サービス」を利用できて残念な気持ちに。さらに、ネットバンキングも暗証番号4桁でログインできる杜撰さ。ナンバー銀行でない方の親和銀行は「Web口座振替受付サービス」の不明だが、ネットバンキングは8文字以上16文字以下の半角英数であった。ふくおかフィナンシャルグループ傘下になったお陰だろうか。

「ドコモ口座」もガバガバである

「ドコモ口座」は「dアカウント」さえあれば開設可能で、個人情報を入力する必要が無い。開設後に入力可能。本人確認などは一切必要が無い。
「dアカウント」は、もともとdocomo ユーザーのみのサービスであったが、2013年から誰でも利用できるようになった。それに伴い、メールアドレスのみで取得可能となり、電話番号の入力は必須ではない。しかも、「dアカウント」はPC上から取得可能で、「ドコモ口座」もPC上から利用可能である。

多くのQR決済はスマートフォンアプリからの登録が必須のため「ドコモ口座」よりは自動取得が難しい。自動化が難しいだけであって、決してセキュリティが高いわけではない。
また、au の「じぶん銀行」は「ドコモ口座」と似たようなサービスであるが、口座開設に運転免許証などの本人確認書類が必要である。また、「au Pay」で銀行口座を利用する場合は、本人確認のため、事前にローソン銀行ATMでの確認番号の払い出しが必須となっている。

「Web口座振替受付サービス」のシステムも問題だが、「ドコモ口座」の責任も免れないだろう

キャッシュカードと暗証番号でATMを利用できるのは、キャッシュカードが物理的な認証要素として機能するからだ。口座番号事態は、秘匿情報ではないし、生年月日も完全なる秘匿情報ではない。つまり、多くの銀行において「Web口座振替受付サービス」は一つの要素のみで認証可能なサービスであったと考えられる。

「ドコモ口座」がメールアドレスのみで開設可能な点にも問題があった。さらに、「収納機関」はセキュアでない銀行と提携すべきではないだろう。セキュリティ面なのか、商売上の理由なのかは不明であるが、「LINE Pay」 や 「PayPay」 では利用できる銀行が限られている。セキュアでない「ゆうちょ銀行」や「イオン銀行」が含まれているため、商売上の理由の方が大きそうではあるが。また、利便性は落ちるものの「収納機関」が本人確認を怠るべきではない。

既に金融庁から各行に通達が回っているようである。今回を機に「Web口座振替受付サービス」の仕組みは見直されるであろうし、「ドコモ口座」も本人確認などが必須になるのではなかろうか。問題は、今回の被害がどこまで救済されるのかである。「Web口座振替受付サービス」の規約上は、暗証番号を利用されてしまっているため不正送金されたユーザーは救われない可能性がある。契約紙面上でも「ドコモ口座」には落ち度がない可能性がある。ただし、状況的に金融庁が黙っている案件ではないため、後日、各銀行やdocomo金融庁から何らかのアクションがあるであろう。
【9月10日追記】ドコモが銀行と協議し、被害を補償すると発表。(銀行と協議するとの発表で、全額補償されるかは現時点では不明)

9月9日中の追記

「ドコモ口座」開設時にショートメールでの認証を追加するようですが、そもそも本人確認をすべきでは。

銀行、docomo、そして警察までもが初動が遅い。昨年2019年5月に、「ドコモ口座」と「りそな銀行」で不正送金が発生していたのに、両者は特に対応策を取ったようには見えない。現在、「ドコモ口座」では「りそな銀行」を利用できないため、これが一応の対応策なのかもしれない。先に示したように「りそな銀行」の「Web口座振替受付サービス」を「口座番号、暗証番号、生年月日」で利用可能である。docomo は同様の事例が過去にあったにも拘わらず、今回のような後手後手の対応な上に、ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ において不正アクセスによるものではないとずれた発表をしているあたり、危機感なさ過ぎである。
過去の事例が生かされておらず、それを監督すべき金融庁の責任が果たされていない。

9月10日の追記

ドコモが「ドコモ口座」の新規受付を停止。
10行での被害が確認され、被害額は1000万円程度。
ドコモは銀行と協議して全額補償すると発表。全額補償を決定したわけではなく、銀行との協議が上手く行かない可能性もある。
また、本人確認として運転免許証などの利用を検討するとのこ。

「ゆうちょ銀行」でも被害が確認されていた模様。

9月11日の追記

9月10日にドコモが行った会見を追記しようと考えたが、追記に追記を重ねると可読性が低下するため別エントリーとした。

*1:厳密には「七十七銀行」は支店名が必要だが、セキュリティには何も貢献しない