ヤフオクの詐欺犯容疑者にヤフー関係社員 91
ストーリー by yoosee
獅子身中の虫 部門より
獅子身中の虫 部門より
lovdrem 曰く、
IT+PLUSの記事によれば、ヤフーオークションの詐欺容疑者の一人が逮捕されたようです。どうやら今回の容疑者はヤフーオークションの内部関係者とのこと。
オークション詐欺の対策を強化を発表し実践していた様だが、流石に中の人が犯人では防ぎきれなかったようだ。 ヤフーの内部犯事件は以前にもYahoo BB顧客情報流出があった。次が無いことを祈るばかりである。詐欺の手口としては、(1)落札期限が近いオークションをチェックして落札者と出品者のIDから、メールアドレスと名前を調べる(2)落札があった際に出品者もしくは落札者になりすまし、即座にメールを送信して、本物の出品者もしくは落札者がメールを出す前に取引を進める(3)落札者から代金をだまし取ったり、出品者から商品を受け取って代金を支払わない ――といったものだったという。 (中略)
特定のIDによる詐欺行為ではなかっため、ヤフーでは気が付かなかったという。今後は、従業員に対する教育を強化するとともに、なりすまし行為による詐欺を防ぐ仕組みの導入を検討する。
性悪説に立ってないですね (スコア:5, すばらしい洞察)
→ 倫理や教育頼みですか?
個人情報漏洩をやった時はYahoo! BBの情報漏えいに関する答申公表、孫氏は「性悪説に立つ」と反応 [itmedia.co.jp]したのに、オークションは完全に、従業員のモラル頼みですか?
カスタマーサポート業務とあるけど、トラブル担当だったという話もあって、要するに、自分でオークション詐欺の対応をできる立場だったのでは? それで、小額の詐欺なら補償されるので、それで発覚を防いだのでは? そういう事ができてしまうという体制は、今巷で話題の SOX 法上、問題無いのかなと思います。
今まで判らなかったというのは、非常に問題ですね。だから、
Re:性悪説に立ってないですね (スコア:3, すばらしい洞察)
ということで、結局個人情報を扱う仕事を外注にだすな、っつう話ですな。
# コストと安全はトレードオフ、というところでしょうか
それは性善説 (スコア:3, 参考になる)
ユーザーサポートの仕事上、誰かはIDからメールアドレス、氏名等を引けるのは当然だけど、
それを他用・流用する事を出来なく・困難にすればいい。
それら作業に対する監視カメラの設置はもちろんの事、
サポート人員が利用するPCから上で実行するアプリケーションの制限は当然として、
Webのアクセス先やメールの発信先の記録や制限もやるべきでしょう。
サポート業務専用のプラットフォームは必須でしょう。
社内での連絡・報告等も専用のプラットフォーム上で行うべきだし。
当然物理的なデータの持ち出しに関しては厳重にチェック。メモ等も禁止で。
必要であれば、オークションIDやメールアドレスをサポート人員には非表示にすることも可能でしょうし。
それにより「信頼出来る人員」なんて性善説に基づいて逆にコスト高になるような事はする必要なくなります。
Re:それは性善説 (スコア:2, すばらしい洞察)
ほえほえ
Re:それは性善説 (スコア:1)
信頼ははかれませんが、信頼出来ない基準は設置できる訳で、
信頼できない人物の排除は必要だと思います。
仕事量や業務上のトラブルから行方不明
保証人に連絡を取ろうとしたら、保証人も行方不明なんて話を複数聞きました(上司の苦労話として)
実際、自分の職場にも無断欠勤の常習→出勤拒否→自宅に不在
→親元に連絡したら借金取りと間違われ、本人は夜逃げという事態や
1度目の徹夜で出勤拒否→夜逃げ→保証人にも連絡つかず、セキュリティカード持ち逃げとかetc
自分の周囲や上司の話だけではサンプル数は絶対的に少ないですが(10にも満たない数なので)
契約期間が3ヶ月以下で更新を続けるタイプの派遣スタッフに問題が多いように見受けられます
そして大きなトラブル(犯罪行為等)を起したスタッフは
その後、本人も保証人(親)も連絡が不通になるってことでしょうか
実際のところは保証人が夜逃げしたというより、
保証人欄に適当な連絡先を記入して書類提出してるってことでしょう
なので最低限、就業前に保証人に電話連絡を取るとか
職務経歴書からヤバそうと感じた人は少し調査するとか
ちょっとした対応で小さなトラブルの何割かは防げる筈で、
小さなトラブルを防ぐ事で大きなトラブルの抑止効果も多少はあるのではないかと思います。
忙しすぎて無理ってことは無いと思うのです。
某大手派遣会社の営業は、問題スタッフの対応で追われてるそうなので、
事前対応で問題スタッフの就業を減少させれば、対応業務も減る筈。
☆大きい羊は美しい☆
Re:それは性善説 (スコア:1, すばらしい洞察)
などと揶揄ってみたりして。
本人倫理もたいせつだけど企業倫理もね。
Re:性悪説に立ってないですね (スコア:1, 興味深い)
そして、他系の情報が必要なら請求して開示してもらいます。相互監査が働くし、請求情報を監査することで不正を防止します。
さらに、癒着を防ぐため監査担当者はローテーションさせます。
ほら、よくきくでしょ銀行勤めだと転勤多いとか、アレです。
#そういえば孫くんちには銀行もなかったっけ?銀行から学んでないのか、それとも銀行もヒドイのか
Re:性悪説に立ってないですね (スコア:1, すばらしい洞察)
勿論実際に事件はあるんだから100%防げる訳では無いけど、実効力の有る対策の一つと見て良いのでは。
#セキュリティーの話に100%なんて無いよ。有るのはすこしづつの積み重ねのみ。
性善説も性悪説も極論だから (スコア:2)
そもそも自由で創造的でセキュアなネットの技術仕様を実現することは出来るのか?
実現出来ると思いますけどね。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
大丈夫です (スコア:1, すばらしい洞察)
こんなコメント出せるぐらいだから、今後、発生し続けてもなにも矛盾しないでしょう。
個人攻撃かもしれないが、社員だけではなく、孫社長自身が性悪説であるのか否かという点について、深く考えたい。
あー。ソフトバンクまだこの分野には進出してないね (スコア:0)
そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:4, すばらしい洞察)
セキュリティの技術仕様を、制度や仕組みで補完すると、経年劣化する可能性が潜み続けるから怖い。
「人間社会の制度やルールは経年劣化する」ということを共産主義国家が既に証明している気がする。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:2, 興味深い)
管理者といえど権限の無い機密にアクセスできてはならないと。
今回のケースは、業務上メアドにアクセスする権限のある人間がその情報を悪用したわけで、設計に問題はありません。
Re:そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:1, 余計なもの)
例えば「これ内緒ね」と口頭や文書で約束してもね、保障出来ませんから。
生物は、自分の属する種を存続させようとするので性善説は是であり、自己の遺伝子を最優先で存続させようとするので性悪説も是であり、性善説か性悪説かの極論で設計するのは間違いだと思いますが。
> 管理者といえど権限の無い機密にアクセスできてはならないと。
rootが交通整理と資源配分しか出来ないUNIX OSが登場しても不思議は無い、と思います。通信プロトコル仕様やOSやネットワークやシステムの設計にも、自然科学・社会科学的洞察のみならず人文科学的洞察まで必要な時代ですので。
> 今回のケースは、業務上メアドにアクセスする権限のある人間がその情報を悪用したわけで、設計に問題はありません。
メールアドレスなどの個人情報にアクセス出来る人間を配置しなければ、現実的なオークションサイトは実現出来ないのか?
そんなことはない気がします。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:2, 参考になる)
Re:そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:2)
「こういう類の技術仕様がなぜ盛り上がらないのか?」というと、「コンピューター技術者の私的なモチベーションが開発動機に繋がらないから」じゃないかな。
今後はこういう観点の開発が重要になると思うケドナ。
例えば、電子投票選挙、選挙前討論、国民投票を実現するには不可欠だし。
システム事業者の権限ある人間にすら、絶対に不正が出来ずに、安全で自由で創造的で民主主義的な活動を促進するコンピューターおよびネットワーク技術仕様が求められるようにナル。
だからこそ、
> セキュリティの技術仕様を、制度や仕組みで補完すると、経年劣化する可能性が潜み続けるから怖い。
> 「人間社会の制度やルールは経年劣化する」ということを共産主義国家が既に証明している。
と、思って、しつこく指摘している次第...。
コンピューターの技術者・研究者は人によってマチマチ。
例えば一流の技術者であっても一流の科学者とは限らないわけだし、あーこわ。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:そもそもコンピュータの管理者にすら絶対に不正が出来ない技術仕様が、正しい技術仕様 (スコア:2, おもしろおかしい)
# AC 批判に終始する連中に辟易している ID 持ちなので AC
社員の教育よりも先に (スコア:4, おもしろおかしい)
Re:社員の教育よりも先に (スコア:2, おもしろおかしい)
モラルだとか色んなものが毛と一緒にどんどん頭から抜け落ちていってるみたいだから。
Re:社員の教育よりも先に (スコア:1)
http://ir.yahoo.co.jp/jp/directors.html [yahoo.co.jp]
#会長ですよね。
似たような事例は他にも (スコア:4, 興味深い)
予想が当たった人にはもれなくタオルが当たるというものでしたが、応募するには、主としてコンビニで販売するボトルに付いているチップ記載の番号か、自動販売機で販売する缶に「ある確率で」付いているチップ記載の番号が必要でした。
コンビニ販売のボトルはチップが付いていなければ買わなければいいだけなのでさほど問題はない(実際はチップが出場国数分だけあって偏在&在庫切れが問題となった)のですが、
問題は自販機の方です。
どう見ても長らく補充・入れ換えしていないと思われる自販機にキャンペーン促進シールが貼ってあって、買ってみると相当数買っても「当たり」が出なかったり、酷い場合だと自販機が売り切れになるまで買い尽くしても一本も当たらないという例もありました。
一方でヤフーオークションでは、自販機用の全7ヶ国セットが大量に出品されていました。
不審に思って製造販売会社に問い合わせたところ「すでに独自に調査している。個別のオークション番号を教えてもらえれば調査対象に含める。」との回答でした。明らかにおかしな大量出品者の番号を教えて連絡を待ちましたがその後連絡なしでした。
その間に何人かの出品者に出所を尋ねたところ、一人だけ「ルート配送員から横流ししてもらった。」との回答を得た他は全員が「知人から譲り受けたので詳しいことは不明。」「その知人とは連絡が取れなくなった。」「知人のプライバシー保護のため教えられない」等の理由で出所は不明でした。
最初のたった一人の出品者が偽りを言う理由は無いと思われるので、真実は補充員による横流しが横行していて実際に自販機に入っていた数は少なくなっていたと考えられるわけです。
以上の情報をもとに再び販売会社に問い合わせたところ、
・オークションの調査結果は?→「まだ調査中」
・実際の体験確率と比較したいので自販機での当たり確率を教えてほしい→「機密情報なので教えられない」
・補充員が横流しする可能性は?→「そのような事態は起こらない万全の体制を取っている」
・補充員が横流ししてるという情報がありますが→「そのような事態は把握していない」
・いま聞き知ってどう対応するのか?→「別の部門が担当なのでそちらと連絡を取らないと分からない」
とまぁこんな対応でした。
念のため、この対応を行ったキャンペーン事務局ではなく、お客さま相談室にも一件を問い合わせましたが、通り一遍の回答しか返ってきませんでした。
#ええ、それからはペプシに乗り換えましたよ。あるいはコーヒーならKIRINとかね。
Re:似たような事例は他にも (スコア:3, 興味深い)
コンビニでバイトしてる人とか。
飲料会社の営業の販材みたいなもので、別に珍しい話じゃないですよ。
# 有名なコートを着て歩いてると「○万で譲ってくれ」ってよく言われたそうです。
Re:似たような事例は他にも (スコア:1, 興味深い)
自販機を持つ小売業者に知り合いも居なければ、コンビニでのバイト関係にも知り合いは居ません。なので事情は良く分かりませんでした。
今回業界の「常識」の一端を教えてもらってありがたく思います。
いえね、何もこのメーカーだけ目の敵にして「許さない!」なんてつもりも、他のメーカーは公明正大だなんてことも信じてる訳じゃないです。
景品の横流し・・・ほかにも沢山事例はあるでしょう。それを否定したり目を瞑ったりするつもりもないです。
ただね、この件は「自販機というブラックボックス」の中にその不公平性が隠蔽されてしまい、消費者の選択の余地がない(※)という点で特異であり、常ならぬ憤りを覚えるのです。
※コンビニで商品に景品が付いていない場合は付いている商品を選択するか付いている商品を販売しているコンビニを探せばいいわけで、購入そのものにハズレ品を掴ませられるリスクはありません。この件の自販機の場合は元来くじ引きの要素が入っていて消費者はそのリスクを負わねばなりませんが、そもそも全補充の段階で当たりが入っていなかったり、キャンペーン期間中なのに当たり付補充品が(横流しのために)早めに無くなってしまったり、本来であれば消費者が負うべきではない余分なリスクを負わねばなりませんでした。たとえ当たりが一本も無い自販機でもとにかく購入してみないことには話が始まらない点に問題があるわけです。せめてその自販機に一本でも当たりが入っているかいないかを表示するのでなければ、この種のキャンペーンで(キャンペーンに参加しつつ)消費者がメーカーの不正による被害から逃れる手は無いように思います。
Re:似たような事例は他にも (スコア:2, 参考になる)
であれば、
> この対応を行ったキャンペーン事務局ではなく、お客さま相談室にも一件を問い合わせ
て不十分な対応であれば、景表法を運用している公取 [jftc.go.jp]ないし自治体の消費生活室 [hyogo-intercampus.ne.jp] など [tokyo.jp]にタレコむといいんじゃないでしょうか。
Re:似たような事例は他にも (スコア:1, 興味深い)
しかし、そちらでは「(そういう不正を含めて)くじの範囲内だし、そもそも貴方には買わないという自由がある(のに自分の自由意思で購入しているの)だから保護に値しない(※)。どうしても不満なら弁護士による無料相談を紹介する。」という対応でした。
公取にも問い合わせました。「表示が不当かどうかがあくまでも問われる。」とのことで、キャンペーンの公告媒体の提出を求められました。郵送と電子的提出の2通りあると説明を受け、それ以上の出費をしたくなかったので電子的提出を選択しました。しかし、公取HPの仕組みに問題があり、何度提出ボタンを押しても、どのブラウザを使ってもエラーが出て提出できませんでした。
それ以来放置したままで、不買運動に転ずることにしました。
そろそろ直ってるかしらん?
※この論理が成り立つなら、どんな商品購入に対しても消費者は文句を言えなくなると思いますが。生死に関わりなおかつ独占的に製造販売を行っている商品といえば一部の医薬品くらいではないでしょうか。ちなみにこの対応を行ったのは東京都の消費生活室です。
Re:似たような事例は他にも (スコア:1)
やったのか!
# 漢だねぇ...。
教育の効果 (スコア:3, すばらしい洞察)
こういうのってどの程度効果あるのかなあって感じがします。
とりあえず会社としての体裁を取り繕う定型発言だとは思いますが。
今回の件は明白な詐欺であり、犯罪だという事は
分かりきった上でやってるのでしょう。
法的にグレーな部分とか見過ごされてる部分なんかを
教育するのは広く効果があると思うのですが、
会社の教育で教えられなくても騙してお金を取るのが犯罪だという事は
ほぼ誰でも知ってるわけで、しかしあえてそれを犯している
こういう故意犯に対して「教育」というものが
どの程度効果あるのかなと。
# 殺し屋に「人殺しは罪です」なんて言ってもなあ。
Re:教育の効果 (スコア:2, 参考になる)
懲戒解雇の上に犯罪行為で影響した分の損害請求X千万の要求とかやれば
犯罪するな、ではなく割りに合わない事を実証できるなら教育も意味有るかも
Re:教育の効果 (スコア:1, 参考になる)
・悪いことはしてはいけません。
・悪いことをすると罰せられます。
の最低3点はセットかな。
ものによっては、
・悪いことを見つけるためにこのようなことが行われています(監視カメラとかログチェックとか)
・グレーゾーンでは、ここまでがセーフです(線引き)
・悪いことを見つけたら、このように通報してください。
なんかも加わりますね。
こんな事件があっても特に驚かない (スコア:2, すばらしい洞察)
Re:こんな事件があっても特に驚かない (スコア:1, おもしろおかしい)
トップにモラルが無いんだから、下にもあるワケ無いわな。
メールアドレスの流出も? (スコア:2, 興味深い)
# 楽天でしか使用していないメールアドレスにもspamは届きますが…
# IT企業なんていい加減?
そもそも公開されてないか? (スコア:3, 参考になる)
というURI見てみ?
他にもY!の登録ユーザを検索する術は沢山あるが。
Re:そもそも公開されてないか? (スコア:2, 興味深い)
Re:メールアドレスの流出も? (スコア:1)
23文字で一部適当な数字を混ぜたアドレスで知人にしか教えてなかったのですが…
auに変える予定なのでID
Re:メールアドレスの流出も? (スコア:1)
うちは最近おおむね15通/日のペースで来るようになりました。しかも、落ち着くどころかますます増える一方です。
しかも夜になると多くやってくるため、音がするたび目が覚めて大変です。緊急対応用に夜でも鳴るようにしているもので。おかげで夜中だというのに眠れなくなってこんなところをうろつく羽目に…
Softbankに買収されたことと何か関係あるんですかねえ。ああ、携帯メール使うのやめようかな…
Re:メールアドレスの流出も? (スコア:0)
友人でも知らないはずなのに何でspamが来るんだろ…やっぱ、漏れてる?
# ってか、spamしか来ないと分かっていてチェックしてる私もアレだな…
Re:メールアドレスの流出も? (スコア:1, 参考になる)
#最近***@aaa.comって感じの***を虱潰しに変えて送られたメールの不達エラーがこっちにくる。
Re:メールアドレスの流出も? (スコア:0)
そういうMTAからのメールは全部リジェクトしろ。そして、そういうMTAを使って恥じない頭の悪いpostmasterは腹を切って死ね。
Re:メールアドレスの流出も? (スコア:1)
・「ポイント×倍セール」の申し込み画面
・懸賞
・「先着で×ポイント」とかの企画
に強制的にメルマガ配信という
トラップが仕込まれています(-人-)
#楽天のメルマガはくるのに
#メルマガ配信してほしいお店からこない(泣)
補償半減 (スコア:1, 興味深い)
実は内部犯行が増えたから“気が付かなかった”ってことはないよな?
http://internet.watch.impress.co.jp/cda/news/2006/11/10/13897.html [impress.co.jp]
Re:補償半減 (スコア:2, 興味深い)
リンク先を見たが、補償額が減ってるという事実を根拠に、被害が減っていると推論している。
これは、補償額が減っているのなら、被害総額も減っているだろうという、当たり前の推論だと思う。
逆に、これが「頭が悪い」というのなら、被害は減ってないという根拠があるのだろうか?
ぜひ教えて欲しいところ。
Re:補償半減 (スコア:2, すばらしい洞察)
「頭が悪い」かどうかは知りませんが、少なくとも「補償額が減った(という発表があった)」->「被害が減っている」は常にそうとは限りません。 ぱっと思いつくだけでも
が考えられます。
Re:補償半減 (スコア:2, すばらしい洞察)
元こめも”被害は減ってない"なんていってない。
被害は減ってるとは確定できないってことだろ。
減ってるのは”補償額"。
つまり同時に被害額と被害件数が出ていない以上は、可能性として、
1.被害額は同じだが、yahooが保障しない件数が増えた。
2.被害件数は同じだが、1件あたりの被害額が減った。
3.被害額・被害件数は同じだがyahooが保障する金額が減った(小額に絞った)。
って可能性があるわけ。
以前の被害件数・被害金額と今回の被害件数・被害金額を見比べない限り、"被害額が減った”なんて結果は出ない。
Re:補償半減 (スコア:2, すばらしい洞察)
要するに、「ただしソースはヤフー」って事です。
Re:補償半減 (スコア:0)
「内部犯行は気づかれにくい」などということが起こるプロセスが知りたいです。
Re:補償半減 (スコア:2, すばらしい洞察)
多分、警察への届け出とYahoo!への届け出の数って違うよ。
そして、確信が無くクサイと思っている人間は、まず運営者に届け出るかと。
タイミングの問題で少し悩んだけど。 (スコア:1)
でもリスク高すぎて私には出来ないな。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
体質 (スコア:0, すばらしい洞察)
正直「またソフトバンクか」とか「やっぱりこういう従業員ばっかなのね」って感想しか出てこないです。
Re:体質 (スコア:2, すばらしい洞察)
--
事件じゃないけど「また KDDI か」なら時々思っている AC