■提供者 てるみ様
■提供内容
gotoトラベルで特に課題となっているのが電子クーポン。とはいえ、今出ている問題は、
・使える場所が少ない。
・うまく読み込んでくれない。
・利用するのに時間がかかる。
など、利用できないことに関する問い合わせに関するものです。ただ、個人的に気になっているのが、不正利用に関するもの。
現在の電子クーポンの仕様を聞いて、危険に感じているリスクを上げたいと思います。
不正1 ランダムアタックによる不正ログイン
難易度:高
まず考えられるのが、ランダムアタックによる不正ログインです。
ランダムアタックは別名ブルートフォースアタックとも呼ばれており、入力内容に総当たりで全ての入力を試すことをいいます。
電子クーポンの入力内容は「事業者ID」、「予約番号・受付番号」、「都道府県」に加え、滞在日の間のみ使えるというところで、それなりに入力も多く、大変と思うかもしれませんが、決して強固ではないのです。
まず、事業者IDですが、旅行者自体も分かりづらいという想定があるため、公開されています。そうなると、不正したい人が狙う都道府県に対して、使える予約番号を順に探せばいいだけなのです。もちろん、狙うのは、小さな事業所ではなく、予約量の取り扱いが多い、OTA(ほぼ2拓ですが)になりますね。
また、予約番号自体もランダム性があるものの、フォーマットのルールがあるため、狙いやすいです。もちろん、人の手で入力するのではあてられませんが、機械的に攻撃することは予想されます。調査によると、IPアドレスなどの制御はあるそうですが、IPアドレスなんて、変えたい放題ですし、公共WiFiでの利用も考えると、制御もあまくせざるを得ない可能性があります。
不正2 SNSでの流出
難易度:高
うっかりしてしまいそうなのが、SNSに電子クーポンのログイン情報を載せてしまうことです。
普通はやらないと思うかもしれませんが、今回の電子クーポンは代表者にしか送られないのです。
友人と旅行する場合には、何かしらの方法でアカウントを共有する事態になりますが、SNSの操作を誤ると流出しかねません。
個人責任とはいえ、電子クーポンサイトにログインするためのキー(予約番号)がリセットできないのが厳しいところです。
不正3 偽サイト構築
難易度:中
見ていただくと分かりますが、今回の電子クーポンサイトは決して複雑なものではありません。
WEBにしてしまったことで、HTML、CSSレベルで情報を提供してしまっているため、おそらく、ある程度の技術者なら簡単にほとんど同じサイトを構築できてしまうでしょう。
このサイトとデザイン上全く同じサイトを作り、クーポンだけはダミー情報を登録したらどうでしょうか?ほとんどの人は違いに気づかずに、利用できたと勘違いすると思います。
不正4 フィッシングサイトによる情報流出
難易度:中
フィッシングサイトとは本物そっくりの偽サイトを作り、必要な情報を抜き取るサイトのことをいいます。
こちらは、上記と違い、ログイン画面を準備するだけで十分です。あとは、情報が取れたら正規サイトに飛ばしてあげるだけで、簡単にごまかせます。
フィッシングサイトは特別定額給付金や持続化給付金のときも横行していました。
ですので、今回も一斉に、「地域共通クーポン発行のご確認」といった感じのメールを送れば、誰か騙せれるかもしれません。
不正5 現地決済予約の当日キャンセル
難易度:低
現状、誰でもできてしまう不正です。
以下をするだけです。
1. 現地決済の予約を電子クーポン対象のOTAで予約する。
2. 15時になったらクーポンをどこか適当な場所で利用する。
3. 予約をキャンセルする。
予約するときには、もちろん適当な情報を入力するだけでごまかせます。
操作をかく乱させるために、不正利用集団が行う場合には、実在する個人情報で予約する可能性もあります。
不正6 社員教育不十分による不正ログイン
難易度:低
予約番号、滞在日ですが、フロント対応スタッフや旅行会社の業務に携わる人であれば、誰でも簡単に調べられます。
つまり、やろうと思えば、やれてしまうのです。
もちろん、会社の信頼を大きく損ねるものなので、やらないとは思います。でも、やれてしまうということ自体が危険です。
どのように不正を防止すべきか
利用履歴は残しているので、場所・時間は特定され、個人の特定はできるかもしれませんが、確実に追跡できるという保証がありません。
頭のいい人は、利用できなかった電子クーポンを探して、夜こっそり、換金しやすい商品の購入に使っていても、ばれないと思います。私は下記のような仕組みにして、制度を整えてからリリースすべきだったと考えます。
1. 個人情報とクーポンを紐づける
まず、改善としてあげられることが個人情報とクーポンを紐づけさせなかったところに問題があります。
紐づけさせることで下記の点が改善します。
・不正があった場合に個人を特定できる。
・クーポン利用時に通知を送ることが可能になるので、不正がすぐに検出できる。
・必要なところで2段階認証が導入できる。さらにいうと、このアカウントは誰でも簡単に作られるものではなく、マイナンバーと紐づけるなど、発行自体の制御も上げるべきと思っています。
今回の期間だと、当然間に合わないし、今のマイナンバー制度だと仕組みとして不安な面は分かるが、この仕組みを作らずに、直前まで変更の可能性がある流動的な宿泊に対して、クーポンをつけることは難しいということなのです。
2. 予約番号以外のキーを作り、リセット可能な仕組みにする
今回の地域共通クーポンは、予約番号がキーとなって利用可能となっています。
これがとても危険だと認識しています。
理由は以下の2点です。
・クーポン利用者じゃない人(特に、旅行会社や宿)が簡単に知ることができる。
・一度流出したら、変更ができない。
そのため、予約番号を利用するためのキーにしたことは、制度設計の誤りと思います。
さらに予約番号をキーにした弊害も出ています。
本来、不正利用が発覚した時点で、旅行者にはすぐにクーポンを再発行する必要があります。
しかしながら、予約番号をキーにしてしまったことで、変更ができなくなりました。
家の鍵が不正に複製された場合、まずドアを変えますよね。
それができないのが今の電子クーポンの仕組みなのです。
3.補償金制度の導入
個人を特定できるようになるのであれば、必須ではないのですが、補償金制度の導入も必要だと思います。
不正利用額を返金してもらえばいいと思っているかもしれませんが、返金は返金でとても大変なのです。
事前に補償金を預かることで、このリスクが大きく下げられます。
4. チェックイン確定後にクーポンを利用可能とする
チェックイン前にクーポンが利用できるというのも、リスクがあるポイントになっています。「現地決済予約、当日キャンセル」を防止するためにも、この仕組みは必ず必要になります。宿まで来てもらえば、本人確認もしているので、リスクが一気に下がります。
5. POSと連動する、せめて店舗側で専用端末を配置する
店舗側のリスクを下げるためにも、POSとの連動は行ってほしいです。
POSと連動することは、リスクの低減とともに、人為的ミスの削減にもつながります。
クーポン利用完了が、顧客側にしかないというのはとても怖いことです。
店舗側は画面にも慣れていないうえ、マニュアルでしか見たことない画面なので、そっくりのサイトが作られていても、気づかないと思います。
他にも、金額が指定でいないなど、利用面での課題もたくさんあります。
3月時点で実施することが決まっていて、時代の流れとしてもやらざるを得なかったのは分かりますが、やるからにはきちんとした仕組みが必要だったと思います。
決済が関わるのに、2段階認証もないのは、すごく不思議な状況です。
何もないことを祈るばかりです。
当ブログはすべてフィクションです。
実践は自己責任でお願いします。
合わせて読みたいのはコチラ