町田徹のホームページへようこそ
トップページへ
執筆記事2008
執筆記事2007
執筆記事2006
執筆記事2005
著作一覧
新聞・雑誌・テレビでのコメント
インターネットラジオ・有志のブログなどでの活動
最近の出来事
Bookreview
 
 
コンタクトはこちらから


週刊現代 2008年9月13日号(9月1日発売)掲載の記事 
「ヤフオク」会員IDが盗まれている! に関連して
 


おことわり

 「ヤフーオークションでIDの乗っ取りに遭った被害者です。乗っ取り犯が私を装って出品したことを会社もわかっているはずなのに、出品手数料を請求され、途方に暮れています。週刊現代(2008年9月13日号の「『ヤフオク』会員IDが盗まれている!」)の執筆に関連して、会社は、町田さまのご取材にどのような説明をしていたのでしょうか。教えて頂きたくて、メールさせていただきました」−−。
 
 週刊現代に寄稿した記事の反響は大きかった。2008年9月に入って、こんな手紙が、当サイトの「コンタクト・お問い合わせコーナー」などに相次いで寄せられたばかりか、専門家やメディアからも問い合わせが相次いだ。その週の週末には、読売新聞や朝日新聞といった名立たる新聞も追っかけ記事を掲載する事態に及んだのだ。
 
 だが、肝心の被害者達の救済は遅々として進まず、事態は混迷を深める一方だ。
 
 逆に、一方の当事者であるヤフーでは、多言を費やして町田徹の質問に対する回答文書を作成し、これをFAXしたにもかかわらず、実際に誌面に掲載された文言が少なく、不満を抱いているだろうことも想像に難くない。
 
 こうした諸事情に鑑み、関係者の方々の相互理解に役立つことを期待して、今回、あくまでも例外的な措置ながら、ヤフー及び週刊現代編集部に通知のうえ、当該の記事全文と質問状、回答文書の全文を掲載させていただくこととした。

2008年9月9日
町田 徹

  

<週刊現代2008年9月1日発売号記事 「ヤフオク」会員IDが盗まれている!>


 「突然、2万8302円を払えと言われても、身に覚えがないものは払えません。理不尽じゃないですか」保育士を目指す主婦の美佐子さんは北関東のあるJR駅近くの喫茶店で、インターネット企業『ヤフー』への疑問を口にした。美佐子さんは、ヤフーのインターネット・オークション、いわゆる「ヤフオク」で出品や高額商品の入札が可能な「プレミアム会員」(会費月額294円)に加入し、トラブルに巻き込まれたのだ。
 概要はこうだ。美佐子さんは6月13日夕方、ちょっとハッピーだった。出先で携帯電話からログインしたら、出品していたレアもののスニーカーが落札されたことを確認できたからだ。ところが、帰宅して落札者に連絡を取ろうとしたら、サイトへログインできなかった。何が起きたのか、美佐子さんにはまったく理解できなかったという。
 すぐにヤフーに確認しようとしたが、不親切なことに同社はこうしたトラブルに対応する電話窓口を設けていない。このため美佐子さんは何度も問い合わせメールを送った。紋切り型の定型文の返事にいらいらしながら、やっとのことで判明したのは、わずか数時間のうちに、何者かによって美佐子さんの会員IDが奪われ、そのIDでオークションに41点が出品された事実だった。41点のバッグや時計は、ニセのブランドものだったらしい。彼女のIDを使って同時に大量出品し、ニセブランドを売り逃げしようとしたようだ。ヤフーは別の会員からその事実を指摘され、美佐子さんのIDを使用停止にしたのだった。結局、美佐子さんは新しいIDを取り、すべて解決したと思った。
 
 ところが、事態は終わらなかった。美佐子さんの出品でないことを知りながら、ヤフーが出品にかかる手数料などをクレジット・カードで支払うよう請求する挙に出たからだ。ヤフーは、会員の利用規約4条にある「IDならびにパスワードを利用して行われた行為の責任は当該IDを保有しているユーザーの責任とみなします」という一文を盾に取っていた。美佐子さんは支払いを拒否し、今もヤフーと睨み合っている。
 
 「それじゃ、まるで『泥棒便乗商法』ですね?」
 私の問いに、他の被害者たちと同じように、美佐子さんも大きく頷いた。こんな商法が社会通念と合致しないのは明らかだろう。
 
 実は、こうした被害者が日本中にいる。若い母親の裕美さんも、同じような経験をした一人。7月29日にID乗っ取りにあい、52点を出品され、1万5000円の手数料の支払いを要求されているのだ。
 
 日本を代表する機械メーカーでシステムエンジニアとして働く幸代さんは、有料プレミアム会員でなく、無料会員としてオークションを利用していた。ところが、5月9日の夕食後。いつものようにパソコンを立ち上げた幸代さんは、背筋が寒くなるのを感じた。「プレミアム会員登録手続きを終えた」というメールが届いていたからだ。該当する時間は勤務中で、そんな手続きを申し込めるはずがない。
 調べてみると何者かがわずかの間にルイ・ヴィトンのコピー商品24点を出品、プレミアム会員登録料、出品料、オプション利用料など合計で1万6000円の利用料を発生させていた。
 高校時代からコンピューターに親しんできた幸代さんは、「ロクな本人確認もせず、有料サービスへの登録を認めるのはおかしい」と抗議した。しかし、クレジット・カード会社の不手際も加わり、代金は引き落とされてしまった。幸代さんは今、返金交渉中だ。

会員に警告なく 消費者軽視の経営体質

 首都圏のシステム開発会社でセールス・エンジニアをしている康祐さんの場合は、残業を終えて午後10時過ぎに帰宅したら、4年前に解約した「プレミアム会員」に再び登録されたことを示すメールが届いていた。結局、21点の不正出品の存在が判明。その手数料の支払いを拒むため、決済口座の残高をゼロにする強硬手段を採ったという。
 神奈川県在住の蔭山さんの場合はつらい。被害にあったのは近くに住む母親だが、「支払いを拒むと、併用しているADSLのサービスを停止される恐れがある」と頭を抱えている。
 
 取材を進めていくと、今年4月以降に、被害が急増していることに気づく。ネット上で不正出品を監視するボランティアと、被害者の情報交換のためのブログを主催する勤務医の馬場さんが協力して集計したところ、「今年4月からの累計被害者数は8月に1500人を超えた」模様だ。
 
 専門家のヤフーを見る目は厳しい。ボランティアとしてこの問題に取り組んでいる消費生活コンサルタントの植田昌宏氏は、ヤフーが手数料請求の根拠としている規約について「消費者契約法第10条が『無効』と定めている『消費者の利益を一方的に害するもの』に該当する可能性がある」と指摘する。
 
 これまでは、個別の被害額が小さく、不正アクセス禁止法という関連法規の不備もあり、警察に相談しても相手にされないことが多かった。そこで多くの案件を持ち込んで事の深刻さを全国の警察に知ってもらおうという、被害者側の行動も活発になってきた。
 
 にもかかわらず、当のヤフーは、「被害続出」という会員への警告を周知徹底するどころか、被害者から手数料を稼ぐ商法を繰り広げているのだ。
 
 ヤフーの広報室に取材したところ、「弊社としてはネットオークションを悪用した犯罪防止策を進めてきました。ご指摘の件はそれらの対策が講じられる前にIDやパスワードがフィッシングによって搾取された可能性が高いと分析しています。またお申し出があれば規定に則って、返金をしています」という趣旨の回答だった。
 しかし私が取材したケースで、返金を受けた人は一人もいなかった。
 さらに、同社が情報漏洩ルートを利用者本人と事実上、決めつけていることに、工学博士の増田英孝・東京電機大学准教授は疑問を呈す。同氏は、インターネット上に同様な被害報告が多数あることや、一般にログイン可能とは知られていない「ニックネーム」と呼ばれる別メール・アドレスとして使うことができるIDを使い自身の正式IDが奪われかけた経験などを根拠に警鐘を鳴らす。
 「外部からの攻撃によるサーバーからの漏洩か、もしくは内部の不心得者による持ち出しかは特定しにくい。が、いずれかのルートを経由して、ヤフーから個人情報が漏れた可能性が考えられます。原因を早急に究明しないと被害が桁違いに拡大しかねません」
 
 ヤフー・オークションと言えば、1999年にサービスが始まった、日本のネット・オークションの草分けだ。プレミアム会員だけで710万人(7月末段階)と断トツ。グループ企業のソフトバンクが携帯電話事業に参入するときには、NTTドコモやauが持たない「キラー・コンテンツ」として期待された。
 
 だが、ヤフーも、本紙8月2日号の拙稿「ソフトバンク携帯400万台のセキュリティが破られていた」で指摘した「消費者軽視の経営」という点で、他のソフトバンク・グループ会社と同じ企業体質のようだ。 ADSL参入時に接続がうまくいかず起きた大混乱や、2004年には個人情報漏洩事件があったにもかかわらず、消費者軽視の経営をソフトバンク・グループは再三指摘されてきた。総帥で、ヤフーの会長も務める孫正義氏の責任は計り知れない。

 

 

<質問状(町田徹⇒ヤフー株式会社広報部)>


 今般は、9月1日発売の週刊現代(2008/9/13号)において、御社のオークションサービスの実情についての紹介記事を執筆しようと考えております。つきましては、大変急なお願いで恐縮ですが、本日(8月27日)中に下記の質問に文書でご回答いただきますようにお願い申し上げます。
 返送は、週刊現代 編集部まで、FAXでお願いいたします。ご多忙のところ誠に恐縮ですが、よろしくお願い致します。
                                    
(質問)
@  「Yahoo!オークション」のサービス開始は、1999年9月で間違いないですか?
A 利用者(ユーザー)数を比較したいのですが、御社の2008年7月月次報告のプレミアム会員ID数の710万(あるいは6月末の706万)と、イーベイの最新四半期決算(6月末)のアクティブ・ユーザー8450万が対応すると考えてよいですか?
B Yahoo! JAPANの利用規約について、質問させてください。4条の「IDならびにパスワードを利用して行われた行為の責任は当該IDを保有しているユーザーの責任とみなします」という文言は、いつから設置されたのですか? なぜ、その文言を設けたのかという理由と、それ以前の同条の内容も教えて下さい。
 
(参考 Yahoo! JAPANの利用規約4条)
 IDを登録されている場合、そのIDならびにパスワードの管理はユーザーのみなさまの責任において行っていただきます。IDならびにパスワードを利用して行われた行為の責任は当該IDを保有しているユーザーの責任とみなします。万一、許可なく自分のIDが利用された場合、またはIDならびにパスワードが第三者に漏洩してしまった場合にはただちにYahoo!JAPAN にご連絡ください。また、サービスのご利用を一時的に終了される際には、その都度ログアウトをしてください。Yahoo! JAPAN はIDならびにパスワードの漏洩、不正使用などから生じた損害については保証いたしませんのでご注意ください。
(解説)
 記事の執筆段階で約1500件程度も発生していた”ヤフーオークションID乗っ取り事件”を深刻なものにしていたポイントが、この規約の「IDならびにパスワードを利用して行われた行為の責任は当該IDを保有しているユーザーの責任とみなします」という部分だ。これを根拠に、ヤフーは、ID乗っ取り犯が行った出品の手数料(オプション利用料などを含め、3000円から5万円程度発生していたケースが多いとみられる)を、正規のID保有者に支払うよう請求する根拠としていたからだ。多くの被害者が反発し、質問Dで取り上げたように、ヤフーとのトラブルに発展していた。そして、問題の4条は、比較的最近になって改定されたのではないかとの噂があったため、この項目を質問に加えてみたが、そうしたことはないとの回答が戻ってきた。
 ちなみに、記事で指摘したように、専門家の間では、本条の問題部分や質問Cで取り上げた利用規約8条が「消費者契約法第10条が『無効』と定めている『消費者の権利を一方的に害するもの』に該当する可能性がある」との指摘も存在している。
C  同じく、Yahoo! JAPANの利用規約について、質問させてください。8条の「また、当該クレームや請求への対応に関連してYahoo! JAPANに費用が発生した場合または賠償金等の支払いを行った場合については、ユーザーは当該費用および賠償金等(Yahoo! JAPANが支払った弁護士費用を含みます)を負担するものとします」という文言は、どういうケースで、どこまでのことを想定されているのですか?具体例を交えて、ご説明いただけると幸甚です。
(参考 Yahoo! JAPANの利用規約8条)
 ユーザーがサービス中に送信(発信)したコンテンツ、ユーザーによるサービスの利用、ユーザーのサービスへの接続、ユーザーの本規約違反もしくはユーザーによる第三者の権利侵害に起因または関連して生じたすべてのクレームや請求については、ユーザーの費用と責任で解決するものとします。また、当該クレームや請求への対応に関連してYahoo!JAPAN に費用が発生した場合または賠償金等の支払いを行った場合については、ユーザーは当該費用および賠償金等(Yahoo!JAPAN が支払った弁護士費用を含みます)を負担するものとします。
(解説)
 ネット以外の分野で、弁護士費用までユーザーに支払わせるという利用者規約をみることはあまりないと思われるが、ヤフーは「リアルの世界と何ら変わらぬ責任があるという当然のことを申し上げている」と回答してきて筆者を驚かせた。
D 多数のヤフーID保有者から筆者に対し「IDの乗っ取りと、そのIDを使用して出品を行われる被害にあった」との情報提供がありました。最近特に増加していると聞きます。こうした被害にあった会員から御社にこれまで何件の届けがありましたか。被害の実情をどのように把握していますか。また、こうした被害の声を受けて具体的な対策をうちましたか。  
E この被害に関連して、御社が、被害者に対して、Bの規定を根拠に、出品手数料の支払いを要求したり、実際に徴収したりしているのは、「泥棒に便乗するような行為であり、社会通念に反する」あるいは「消費者契約法の第10条に反する」といった意見が寄せられています。御社として反論がありますか?
あれば、その内容を教えてください。
(解説)
 ヤフーの回答を読むと、要項が存在し、円滑に返金手続きを案内して貰うことができ、返金もすんなり受けられるような印象を持ってしまうのではないだろうか。ところが、記事にも書いたように、筆者が取材した人たちの中には、この質問状のやりとり段階までには、「返金(請求停止)の検討を行うとの通告を受けた被害者が1人存在しただけで、実際の返金に辿り着いた被害者など一人も存在しなかった。 
F 上記のIDの乗っ取りに関連して、御社は不正アクセス禁止法の被害者にあたると思われますが、これまでに同法に基づく被害届けを何件お出しになりましたか? 届け出があれば、どこの警察に対し、いつ、何件程度お出しになっているのか、できるだけ具体的に情報公開をお願いします。また、お出しになっていないならば、なぜ、出さないのか、その理由をご説明ください。
G 被害にあった多数の方に取材したところ、御社の消費者対応に疑問を投げ掛ける声が多数ありました。具体的には、(ア)(出品する際になっている必要がある)プレミアム会員に登録する際や、出品の際の本人確認が甘い、(イ)イーベイなどに比べて、要求される書類の取得が面倒であり、補償を受けにくい、(ウ)電話対応を受け付ける専門部署が無く、すべてメールでというのはあまりにコスト優先主義ではないか、(エ)多発する乗っ取りに対し、その状況を積極的に開示し、パスワード変更を呼びかけるなど、再発防止に努める姿勢がみられない、(オ)2004年の個人情報流出不祥事の反省がない――といった具合でした。それぞれに反論がありますか?
H 多くのケースで、乗っ取り犯は中国やシンガポールのサーバーからアクセスし、あらかじめ、ヤフーID、パスワード、ニックネームなどの個人情報を把握している模様で、ほとんど失敗無くログインしていることが、被害者からのヒアリングで明らかになりました。取材した多くの方は、コンピューターやネットワークに詳しい方々で、この種の情報漏えいが自分たちサイドで起きたとは考えにくいと話していました。外部からの攻撃により、御社のサーバーから漏えいした可能性や、御社が管理している情報が漏えいした可能性について、いかがお考えになりますか。
I 「知恵蔵」にて、被害者に対する理不尽な批判が不自然に多かったり、御社に批判的な意見が消去されるケースがあるとの声も聞きました。単なる邪推なのか、事実とすれば、正当な理由があっての行為なのか、事実関係をご説明下さい。
J 被害者達は、8月22日時点で被害者数が1500を超えたとしています。御社でも同様に把握されていますか?

 


<回答文書(ヤフー株式会社⇒町田徹 2008年8月28日付)>

この度はご質問をお送りいただきありがとうございました。
 ご指摘いただいている事象は、正に弊社においても分析を進めているものでしたので、今回の取材を通じて状況をご理解いただければと考えております。総括すれば、次に説明させていただきますとおり、弊社がこれまで進めてきた「インターネットオークションを悪用した犯罪防止対策」が有効に機能している結果、追い詰められた犯罪者の手口が変化し、結果として利用者の方々にその影響が及んでいるという状況だと考えており、さらにご利用者の保護を含めた犯罪対策の強化を検討しているところです。なお、犯罪の手口情報に結びつく可能性のある部分につきましては、詳細な説明は控えさせていただいておりますので、併せてご理解ください。
 インターネットオークションを悪用した犯罪として、偽ブランド品の販売や詐欺などがありますが、その防止策として、出品者の本人確認の強化(出品者の住所地での運転免許証などによる身分確認)を徹底して進めてまいりました。その結果、新たなIDを取得して犯行を実行することが相当難しくなり、既存のIDを何らかの方法で詐取し悪用するという手口への移行がなされていると思われます。そこで、こういった状況に対応するため、弊社では、「わかりやすいパスワードを使用されている方々へのパスワード変更の案内」などを行うほか、様々なフィシング対策を進めてきております。また、ID売買などもご利用者に通報いただくことで防止に努めてきました。
 これらの対策の効果も現れてきており、今回ご指摘いただいた件は、過去にそれらの対策が講じられる前にフィッシングによって詐取されたIDが偽ブランド出品のために悪用されている事案である可能性が高いものと分析しております。(弊社ではパスワードは不可逆的に暗号化して管理しておりますので、可視的にパスワードを見ることは誰にもできません。従って、パスワードの窃取がなされているとすれば、フィッシング等によるものと考えられます)
 現在、弊社では上記の分析に基づき被害拡大の防止に努めているところで、並行して、不幸にもIDを悪用されてしまったお客様への対応についても引き続き検討を進めてまいります。
@ 間違いありません。
A イーベイとどのように比較していいか判断できないため、対応する数字かどうかは分かりません。プレミアム会員の会員数はお問合せのとおりです。
B  何年何月というのはすぐに分かりませんが、Yahoo!JAPAN のサービス開始当初から記載しているようです(オークション開始以前からです)。
 4項全体を通読していただくと、ご自身のID・パスワードの管理を適切に行うことが重要と理解いただき、万が一不正利用の被害に遭ってしまった場合はYahoo!APAN にご連絡してくださいということを申し上げています。
  インターネットを利用される方にとって、ご自身のID・パスワードをご自身で管理されることの重要性について申し上げている、という趣旨です。
C 8条では、利用者のインターネット上の行為について、リアル(ネット以外の世界)と何ら変わらぬ責任があるという当然のことを申し上げているという趣旨です。例を挙げるとすれば、例えば、偽ブランド品を売ったり、別のサイト/ページからの文章の転載などのモラルハザードにより個人間の訴訟が発生した場合等が考えられます。
D ご存知のとおり、詐欺等の不正利用を防ぐために本人確認の段階的な強化を行ってきており、その結果、詐欺が激減するという効果を得ました。反面、悪用のためのIDを自ら取得することが難しくなってきたため、結果としてID売買や詐取といった手法が増えてきたようにと捉えております。
  この対策として、弊社では従来からの啓蒙活動に加え、
   ・フィッシング対策技術を搭載したフィッシングブラウザの提供や、
   ・オークションの利用履歴を分析し不正利用の検知を効率化する
     不正利用検知モデルの導入、
   ・お客様からの通報や24時間有人監視パトロールによるID停止等の実施、
   ・偽のログインページから守るためのログインシール、
   ・Yahoo! ツールバーのフィッシング警告機能
といった技術面での対策も順次行っております。
 (ご参考)
 フィッシング防止ブラウザ 
 http://special.auctions.yahoo.co.jp/html/anzen/newtechnology1.html
 不正利用検知モデル
 http://pr.yahoo.co.jp/release/2005/1114a.html
 ログインシール
 http://help.yahoo.co.jp/help/jp/edit/edit-71.html
 Yahoo!ツールバー フィッシング警告機能
 http://toolbar.yahoo.co.jp/intro/conv/
E お客様からのお申し出をいただくまでは、弊社が当該IDの利用が正規のものか、不正なものかを気付くことは困難です。また、お申し出をいただいても、弊社単独では、当該利用が正規のものか不正利用されたものか断定的に判断することはできません。しかしながら、お申し出後にご案内しております要項に沿ってお手続きいただいた場合は、規定に則って返金を行っています。以上の事情に照らして、弊社の対応は消費者契約法上、何ら問題ないと認識しています。
 ※Fの回答も併せご参照ください。
F 弊社はお客様からのお申し出をいただくまでは、当該IDの利用が正規のものか、不正なものかを気付くことは困難です。警察当局からの捜査関係事項照会により初めて知ることができますが、照会への回答は極めて迅速に行っておりますし、その後の被害届けの提出も捜査当局との連携の下、速やかに行っております。実際、謙虚に繋がっている事例も多いと伺っていますので、今後とも迅速な事件解決のために協力体制の強化を図ってまいる所存です。(実際の運用状況について、是非警察にもお問い合せください。)
G (ア) まず、「プレミアム会員」は、単に動画の閲覧など一定のサービスが利用できるようになる会員資格であって、オークションの出品資格とは直接には関係ありませんので、今回ご質問いただいている不正利用の件とは直接関係がありません。本人確認の精度・軽重に関しては、国内外の他のオークションサイトでは見られない「配送本人確認」を実施しています。これは、初回出品時に指定配送業者が、パスワードの書かれた郵送物を登録者に渡す際に、公的証明書類により本人であるか確認をし証明書の番号を記録するというものです。弊社が知る限り、国内外で一番厳しいものだと認識しています。
(イ) イーベイさんがどのようにされているかは弊社では存じ上げません。弊社においては、事実関係が一定の蓋然性をもって「事実であった」と判断するために必要な最低限の書類の提出をお願いしております。弊社が提供しております補償制度は保険とは異なりますので単純な比較はできませんが、たとえば自動車事故が発生し損害保険の支払いを請求する場合には、警察に通報し事故証明をとることが必須であると思いますし、場合によっては保険会社の方の確認が入ります。弊社がお願いしている手続きは、このような一般的な保険の手続きに照らしてもむしろ簡便であり、社会通念上問題のあるものでは決してないと考えます。逆に、徒に手続きを簡素化し補償をすることは、いわゆる「保険金詐欺」を招来したり、モラルハザードが横行することにつながり、他の善良なお客様にとって迷惑にもなりかねないと思います。
(ウ) 電話をかける時間帯が限られているお客さまもいらっしゃいますが、メールであれば順次対応が可能ですし、事実関係や経緯について整理してご説明いただける点、問題の出品の指摘などをURLを引用して行える点、記録が確実にお客様のお手元にも残る点など、インターネットサービスをご利用されるお客様にとってメールでの対応に利点があるという事実を勘案しております。
(エ) メールやウェブサイト上でパスワード変更やその他安全対策に関する啓蒙を色々行っています。これに加え、前述のとおり技術的な対策も実施しています。
(オ) まず、2004年の事件は弊社によるものではございません(ソフトバンクBBで発生したものです)。ただし、当該事故以前から、セキュリティ面の強化を一環して継続しており、ISMSを取得するなどして、物理的にも従業員教育の面からも厳重に管理しています。
Hそのような事実は把握しておりません。また、捜査当局からの指摘もありません。もしあるのならすぐに調査を行いますので、是非とも詳細にご教示ください。
 
Iそのような事実はございません。
 知恵袋はQ&A形式でコミュニケーションされるものであり、単なる主張や誤ったカテゴリーへの投稿等サービスの目的・趣旨に合致していないものとして削除するケースはございます。
J個々の事例はお問い合わせや捜査照会により把握しておりますが、内容は事案により様々である、一塊として捉えておりません。