パスワードを忘れた? アカウント作成
14078102 story
ビジネス

一部の配車アプリで自分が払った運賃を他人が乗っ取り行先も変更できる、運用上の脆弱性 58

ストーリー by hylom
無断キャンセルの次はこれか 部門より

タクシー配車アプリでは配車依頼者の確認がきちんと行われない場合があり、そのため配車を依頼したにも関わらず、やってきたタクシーに他人が乗ってしまうというトラブルが発生しているそうだ(Togetterまとめ)。

基本的には乗車時に名前を聞くといった方法で依頼者の確認をしているそうだが、それをごまかして乗車したり、またドライバーが確認を怠る場合もあるようだ。さらに、こういったアプリではアプリ側で登録したクレジットカードで決済することも多く、その場合タクシーに乗れなかったにも関わらず料金の請求だけが依頼者に届くこともあるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 一時期蕎麦屋の出前とかが嘘電話で被害を被ることが多くなった時があったが
    出前の場合は一番の被害者が店側だから、必死に対策するよな
    今回は横取りされた客が一番の被害者だから、泣いてちゃだめだよな

    この辺にもお客様は神様です思想が根付いているね

  • by Anonymous Coward on 2019年12月27日 19時55分 (#3738011)

    そうやって客が離れていくんだな

    • by Anonymous Coward

      ホテルやレストランは名前予約で乗っ取り問題起きないのに、このタクシーアプリだけで問題起きてるのこれ?

      • by Anonymous Coward on 2019年12月28日 5時20分 (#3738159)

        前払いじゃないからね。その代わり無断キャンセル問題が起きてる

        親コメント
      • by Anonymous Coward

        ホテルやレストランは支払い別なのが主流ですしねー

      • by Anonymous Coward

        タクシー「あれ?おかしいな?来ないな?もう一回呼ぼうか」ですんじゃう。
        ホテル「既にお客様が泊まっています。どちらが本物ですか?」でホテルが困惑。
        レストラン「予約時間に行ったら、自分を騙る人がいた!」で本人困惑。

        • by Anonymous Coward on 2019年12月27日 23時56分 (#3738118)

          料金前払い(ネット経由クレカ決済)してたホテルで、名前騙られて泊まられかけたことある。
          犯人も何でそんなすぐバレる手法つかったのかはわからんが。

          当然、宿泊者カードと予約の突合をきちんとやってなかったことが発覚して、ホテルがめっちゃ叱られたらしい。

          # あと、タクシーでも予約配車を勝手に奪われたことがあった。
          # しかも奪われたことを伝えても最初認めようとせず、押し問答の末に代車が来たのが30分後。
          # そのときは凄まじく揉めた。予定色々狂わされて、返金しますで済む話じゃねーだろと。

          親コメント
          • by Anonymous Coward

            > # あと、タクシーでも予約配車を勝手に奪われたことがあった。
            > # しかも奪われたことを伝えても最初認めようとせず、押し問答の末に代車が来たのが30分後。
            > # そのときは凄まじく揉めた。予定色々狂わされて、返金しますで済む話じゃねーだろと。

            タクシーは金が入れば信用度外視の会社は地域問わずそこそこある。
            大体年下だと思っているので、怒鳴ればどうにかなると思ってるし、
            最終的に「そちらに向ってる車は今はありません」を使って逃げ切ろうと思ってる節がある。
            そして所轄運輸局に苦情入れてもなしのつぶでだったりする。
            しかも、どうしようもなく評判が下がると会社名変更や合併して評判自体をなかったことにするという荒業にもでる。
            タクシーについては鉄道系や大手以外は信用しない方がいい。

  • by Anonymous Coward on 2019年12月27日 20時27分 (#3738026)

    なんか初めて見たキノコを毒がないかおっかなびくり食べる原始人みたい
    でも、こういう話が秒で全国に広がって、インターネッツの面目躍如だね

    • by Anonymous Coward

      クレーム入れたら金は返してくれるんでしょ。
      配車サービスなんて、もとからその程度のもんだし。

      むしろこういうことを書く輩は、タクシードライバーにどれほどの忠誠心を求めているんのか謎。

      • by Anonymous Coward

        ドライバーが悪いというより、支払い者の本人確認する仕組みになってない出来損ないのシステムが悪いと思う。

        • by nemui4 (20313) on 2019年12月27日 21時04分 (#3738038) 日記

          支払い者というか、呼び出した本人アカウントを照合する仕組みが無さそうなのが致命的かも。

          電話で予約した場合でも、待ってる所にタクシーが来て。
          「○○さんですか?」って聞いてくるから、別人でも「はい」って答えてそのまま乗れそう。
          乗ってから行き先変更伝えても通るんだろうな。
          配車アプリで呼ばれたタクシーもそんな感じだったのかもしれない。
          電話予約の場合、乗った人が払うはずだからマシだろうけど。

          親コメント
          • by Ryo.F (3896) on 2019年12月27日 23時01分 (#3738094) 日記

            客の方に名前を言わせるプロトコルになってることが多くないか?
            ドライバーの方から名前を言うと、客が聞き間違って「はい」って言っちゃう可能性もあるからね。

            親コメント
            • by Anonymous Coward

              聞き間違いだけでなく、それこそ悪意持ったタクシー乗っ取りに対応できないから、客の側に先に名乗らせないと意味ないわな……

          • by Anonymous Coward

            「○○さんですか?」+「予約番号は?」とか二段階認証を導入すればいいのかな?

            • by Anonymous Coward

              元のページにあるけど、その確認をしないドライバーも居て、対策にならんという話ではある
              ドライバーの端末に予約番号を入力させるような仕組みにすればよいだけではあるんだが…

      • by Anonymous Coward

        自分が乗ってないことを証明するのはむつかしいんじゃないかな。
        カメラの映像はあるが、クレジットの請求が来る頃には消えてるだろ。

        人が多いところだと客と車が入れ替わることはよくあるよ。
        皆同じようなところに車呼ぶんだから。
        それに酔っ払いとか正常に受け答えできないような客もいるし、客に悪意があれば運転手がなに聞いても無駄。
        忠誠心とか大げさなものじゃない。

        廃車アプリって行先も入れるんじゃないのか?行先を再確認すればすり替わったかわかるのに。

        • by sitosi (38952) on 2019年12月28日 12時27分 (#3738250)

          廃車アプリって行先も入れるんじゃないのか?

          目的地を入れる、ないし入れられるアプリもあるけれど、大半のアプリは目的地は入れない。自分がよく使う「東京無線」とか「東都タクシー」は目的地は入れないし、カード登録もない。逆に某大手タクシーの有名アプリはカードを登録するシステムなのだけれど、外出先でタクシーを呼ぼうとアプリを起動したら、現在位置の入力欄がない。きっと先に進むと、どこに呼ぶかの入力欄が出てくるに違いないと思い、先に進んだら「タクシーの配車完了」のメッセージが出て、慌てて予約を確認したら最初にこのアプリを使ってタクシーを呼んだ場所に勝手に配車されたことになっていた。慌てて配車センターに電話を掛けてキャンセルしてもらったけれど、こんなユーザーインターフェースの悪いアプリは怖くて使えないと思った。しかもこのアプリはカードを登録してあるので勝手に引き落とされてしまう恐れも大きい。

          親コメント
        • by Anonymous Coward on 2019年12月27日 21時38分 (#3738055)

          廃車アプリの行き先ってどこの幽霊タクシーだよ

          親コメント
        • by DanDaDan (47296) on 2019年12月27日 22時29分 (#3738082) ホームページ 日記

          入れる。
          では、車内で口頭で変更したいと言えば、多分OKだと思う。

          客商売だからね。
          ちょっとずるい知恵のある人なら簡単だと思う。

          --

          “人生の大半の問題はスルーカで解決できる...

          親コメント
          • by Anonymous Coward

            なんか悪用する方法が出回ってるんだろうね。

            ま、行先変更言い出したら車内でカード通してもらえばいいだけのように思う。

        • by Anonymous Coward

          GPSで簡単にわかるだろ

        • by Anonymous Coward

          そんな時にゃぁ、Google Map Timeline

    • 割り込んでタダ乗りする手法もインターネッツで広まってたんだろうな

  • by Anonymous Coward on 2019年12月27日 21時25分 (#3738048)

    アプリに「乗車開始」ボタンを付ければいいだけ
    まあ付けたら付けたで問題は出るでしょうけど

    • by Anonymous Coward

      車とアプリで位置情報突き合わせればいいような

      • by Anonymous Coward

        位置情報だと乗車してからある程度移動しないと検出できないし、
        乗せた客を降ろす必要が出てくるから更にトラブルが起きるでしょう

      • by Anonymous Coward

        車のスピーカーから超音波でIDを流してそれをアプリで拾うとかもっとサイバーなの希望。

        • by Anonymous Coward

          QRコードとか BLEビーコンとかの既存技術でよくない?

          • 運「○○さんですか」
            客「はい」
            運「予約番号をお願いします」
            客「△△です」
            運「どうぞ」

            でいいんじゃないの。変にIT化する必要すらない。

            普通の店舗商売でも、予約サービスとかでこのぐらい確認はよくあるものかと。

            親コメント
            • by Anonymous Coward

              配車センターのおばちゃん(以下おば)「あー、1234号車運転手応答ください」
              運転手「はい1234」
              おば「配車アプリから予約入りました。XX市XX町○-1、アベ様です。予約番号は104495302910。復唱お願いします。」
              運転手「復唱します。XX市XX町○-1、アベ様。予約番号は104945302910」
              おば「あー予約番号は104495302910です」
              運転手「104495302910」
              おば「はい、よろしくおねがいします」
              運転手「1234了解」

              みたいなことしてるんかな?流石に無いかな。
              配車アプリからオペレータ経由せずに位置情報とテキストメッセージ付きで近隣の空車に自動配車する仕組みくらいは当然のごとくあるか。
              なければ手間を減らしたいなら予約番号を運転手に通知するためのインフラが要るな。

              • 「アプリ配車だと、決済はアプリ側で行う」「乗車してから行き先変更できる」って点からすると、
                車両とセンターとで双方向に情報をやりとりするシステムは載ってるものだと思うのですが、どうなんですかね?

                まあ、予約番号の確認する場合、全桁確認しなくても、それこそ「予約番号下2桁をお願いします」ぐらいで十分だと思うし、それくらいなら無線でもいけると思いますが。

                「はま寿司」の無人ペッパー君による本人確認は数字一桁です。
                スマホ予約したり、店頭で順番待ち発券したら、予約番号3桁とパスワード1桁が発行される。
                順番がきたら予約番号で呼び出されて、ペッパー君画面のパスワードの数字をタッチすると、座席番号タグがプリントアウトされる。
                という流れですが、カジュアルな横取り対策はこれぐらいで十分かと。

                #3年ぐらい前?の無人案内システムの運用開始当初は、予約番号3桁入力だけで秘密情報による認証なしというシステムで、横取りし放題だろとツッコミどころ満載だったんですが
                #去年ぐらい?に改訂されました。

                親コメント
              • by sitosi (38952) on 2019年12月28日 12時45分 (#3738253)
                実際の運用は、タクシー配車アプリからの発注は電話で受付けている配車センターのディスプレイに表示されるらしい。(消費者金融のネット申し込みみたいなもの?)

                で、電話受付けもするオペレーターがモニター上で近くのタクシーに配車の打診のメッセージを送信する。運転手はモニター(カーナビ兼用)に表示された依頼先を確認し、その注文を受け付けるか、拒否するか画面のボタンで返信するらしい。運転手の OK が出た場合、配車センターのオペレーターは配車完了のメッセージを顧客のアプリに送信する。

                なお、多くのタクシー会社は1日で3回までは拒否を認めているのだけれど、それを超えて拒否すると、その日はペナルティーで一切配車要請はしないことになっているとか。某◯都タクシーはその制限がないので、「あ、こいつはいつも近場の客だ」と運転手に判断されると、なかなか配車がされない…のかも?

                手配が完了すると、運転手のモニターに相手の氏名と待ち受け先の住所が表示され、さらに地図上に行き先が表示されるが、この地図が結構不正確。多くのカーナビは団地や施設は表示されても、入り口や玄関、進入路が表示されないため、タクシーの現在位置を地図上で確認すると我が家のあるブロックの周辺をタクシーが何度もグルグル回っているのが確認できる。しばしば我が家のある棟のすぐ傍の(10 m 位先?)広い道路に呼んだタクシーが止まっているのが確認できるので(配車指定先は団地の敷地内にあるマンションの玄関前)、慌てて入り口も、道も、階段もない草の生えた急勾配の「土手」を駆け降りて呼んだタクシーに乗ったりする…。
                親コメント
              • by Anonymous Coward on 2019年12月27日 23時07分 (#3738097)

                今時の無線配車は社内のディスプレイに目的地とお客の名前が表示される。
                タクシーがどこにいてどういう状態か(空車か実車か)もセンターから随時わかる。

                音声の無線でやり取りするのはど田舎のタクシーだけだよ。

                親コメント
            • by Anonymous Coward

              MKタクシーのアプリでタクシー呼んだらその方式だったよ。
              決済番号をお願いしますと乗車時に言われた。

      • by Anonymous Coward

        位置情報はもうすでに取ってるんじゃないかな
        利用してないだけで

    • by Anonymous Coward

      使い捨てのIDを発行して利用者のスマホにQRコードで出して運転手は読み取って確認、とかでよくない

      • by Anonymous Coward

        配車サービス毎に運転手にリーダーを配る羽目になると思う

      • by Anonymous Coward

        そもそも支払い処理を乗り降りの時にすれば良いのでは?

    • アプリに手を入れなくとも運転手が名前をちゃんと聞くだけでかなりの効果が期待できそう。

      それでも、もしアプリに手を入れるなら、名前でなく、合言葉で乗れるみたいなのもいいかな。
      ワンタイムパスワードみたいな感じで自動生成された合言葉を言えたら乗車できるようなイメージ。(ワンタイムじゃなくて、ユーザーや運転手が設定したものでもいいけど)
      QRコードみたいに読み取り機器にかざしてもらったりとか、運転手がカメラで撮影したりとか、余計な機器や手間があまりかからなそう。

    • by Anonymous Coward

      「今乗った奴は乗っ取り犯だから豚箱に送ってやれ。もちろん料金はそいつ持ちでな」ボタンの方がよくね
      普段は押さなくていいんだから
      捕まることが知れ渡れば舐めた真似をする奴も現れなくなって押す機会も減っていくだろう

  • by Anonymous Coward on 2019年12月27日 23時02分 (#3738095)

    配車と支払いで処理を分ければいいだけだろ。

    • by Anonymous Coward

      twitterを見てると先払いで○○ pay(先払い)ポイント云々では
      なので乗ってから「乗車したよ(支払承認)」ボタンを押すくらいの認証はあったほうがいい
      複数の会社に予約して最初に来たタクシーに乗って他はバックレの防止に先払いになったんじゃないの

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...