一部の配車アプリで自分が払った運賃を他人が乗っ取り行先も変更できる、運用上の脆弱性 58
ストーリー by hylom
無断キャンセルの次はこれか 部門より
無断キャンセルの次はこれか 部門より
タクシー配車アプリでは配車依頼者の確認がきちんと行われない場合があり、そのため配車を依頼したにも関わらず、やってきたタクシーに他人が乗ってしまうというトラブルが発生しているそうだ(Togetterまとめ)。
基本的には乗車時に名前を聞くといった方法で依頼者の確認をしているそうだが、それをごまかして乗車したり、またドライバーが確認を怠る場合もあるようだ。さらに、こういったアプリではアプリ側で登録したクレジットカードで決済することも多く、その場合タクシーに乗れなかったにも関わらず料金の請求だけが依頼者に届くこともあるという。
泣いていい?じゃなくてちゃんと返金させなきゃだめだよな (スコア:3)
一時期蕎麦屋の出前とかが嘘電話で被害を被ることが多くなった時があったが
出前の場合は一番の被害者が店側だから、必死に対策するよな
今回は横取りされた客が一番の被害者だから、泣いてちゃだめだよな
この辺にもお客様は神様です思想が根付いているね
Re:泣いていい?じゃなくてちゃんと返金させなきゃだめだよな (スコア:1)
業者に問い合わせて渋るようならカード会社にチャージバック依頼すれば請求の取消しは普通にやってくれるけどね
Re:泣いていい?じゃなくてちゃんと返金させなきゃだめだよな (スコア:2)
そうそう、そのためのカード引き落とし1か月タイムラグなんだよな
Re: (スコア:0)
でも顧客側がチャージバックを請求すると正当な理由であってもなぜか(ブラックリストには乗らないけど)クレジットヒストリーに傷がつくんだよね。
確証が取れない場合だと一度支払ったうえで確証得られた時点で相殺(得られない場合はずっと保留)もあり得るし。
#中国関係の支払いで経験済み
Re:泣いていい?じゃなくてちゃんと返金させなきゃだめだよな (スコア:2)
カジュアルに送金停止をすることもないし
こちらから止めてと言うわけだから、こちらの信用が落ちるのは
仕方ないところだよね
何か不利益が出るほどの傷の付き方だったら問題あるけど
Re:泣いていい?じゃなくてちゃんと返金させなきゃだめだよな (スコア:2)
クレジットカード会社が詐欺共犯同然なのは同意だね
Re: (スコア:0)
神様思想か、客が困ってるのに間違った機械応答しか返ってこないクソIT企業、どっちの対応がいいんでしょうね。
名前だけでサービスを使えない治安の悪い商売 (スコア:0)
そうやって客が離れていくんだな
Re: (スコア:0)
ホテルやレストランは名前予約で乗っ取り問題起きないのに、このタクシーアプリだけで問題起きてるのこれ?
Re:名前だけでサービスを使えない治安の悪い商売 (スコア:1)
前払いじゃないからね。その代わり無断キャンセル問題が起きてる
Re: (スコア:0)
ホテルやレストランは支払い別なのが主流ですしねー
Re: (スコア:0)
タクシー「あれ?おかしいな?来ないな?もう一回呼ぼうか」ですんじゃう。
ホテル「既にお客様が泊まっています。どちらが本物ですか?」でホテルが困惑。
レストラン「予約時間に行ったら、自分を騙る人がいた!」で本人困惑。
Re:名前だけでサービスを使えない治安の悪い商売 (スコア:2, 参考になる)
料金前払い(ネット経由クレカ決済)してたホテルで、名前騙られて泊まられかけたことある。
犯人も何でそんなすぐバレる手法つかったのかはわからんが。
当然、宿泊者カードと予約の突合をきちんとやってなかったことが発覚して、ホテルがめっちゃ叱られたらしい。
# あと、タクシーでも予約配車を勝手に奪われたことがあった。
# しかも奪われたことを伝えても最初認めようとせず、押し問答の末に代車が来たのが30分後。
# そのときは凄まじく揉めた。予定色々狂わされて、返金しますで済む話じゃねーだろと。
Re: (スコア:0)
> # あと、タクシーでも予約配車を勝手に奪われたことがあった。
> # しかも奪われたことを伝えても最初認めようとせず、押し問答の末に代車が来たのが30分後。
> # そのときは凄まじく揉めた。予定色々狂わされて、返金しますで済む話じゃねーだろと。
タクシーは金が入れば信用度外視の会社は地域問わずそこそこある。
大体年下だと思っているので、怒鳴ればどうにかなると思ってるし、
最終的に「そちらに向ってる車は今はありません」を使って逃げ切ろうと思ってる節がある。
そして所轄運輸局に苦情入れてもなしのつぶでだったりする。
しかも、どうしようもなく評判が下がると会社名変更や合併して評判自体をなかったことにするという荒業にもでる。
タクシーについては鉄道系や大手以外は信用しない方がいい。
君の死は無駄にはしない (スコア:0)
なんか初めて見たキノコを毒がないかおっかなびくり食べる原始人みたい
でも、こういう話が秒で全国に広がって、インターネッツの面目躍如だね
返金対応で十分 (スコア:0)
クレーム入れたら金は返してくれるんでしょ。
配車サービスなんて、もとからその程度のもんだし。
むしろこういうことを書く輩は、タクシードライバーにどれほどの忠誠心を求めているんのか謎。
Re: (スコア:0)
ドライバーが悪いというより、支払い者の本人確認する仕組みになってない出来損ないのシステムが悪いと思う。
Re:返金対応で十分 (スコア:2)
支払い者というか、呼び出した本人アカウントを照合する仕組みが無さそうなのが致命的かも。
電話で予約した場合でも、待ってる所にタクシーが来て。
「○○さんですか?」って聞いてくるから、別人でも「はい」って答えてそのまま乗れそう。
乗ってから行き先変更伝えても通るんだろうな。
配車アプリで呼ばれたタクシーもそんな感じだったのかもしれない。
電話予約の場合、乗った人が払うはずだからマシだろうけど。
Re:返金対応で十分 (スコア:2)
客の方に名前を言わせるプロトコルになってることが多くないか?
ドライバーの方から名前を言うと、客が聞き間違って「はい」って言っちゃう可能性もあるからね。
Re: (スコア:0)
聞き間違いだけでなく、それこそ悪意持ったタクシー乗っ取りに対応できないから、客の側に先に名乗らせないと意味ないわな……
Re: (スコア:0)
「○○さんですか?」+「予約番号は?」とか二段階認証を導入すればいいのかな?
Re: (スコア:0)
元のページにあるけど、その確認をしないドライバーも居て、対策にならんという話ではある
ドライバーの端末に予約番号を入力させるような仕組みにすればよいだけではあるんだが…
Re: (スコア:0)
自分が乗ってないことを証明するのはむつかしいんじゃないかな。
カメラの映像はあるが、クレジットの請求が来る頃には消えてるだろ。
人が多いところだと客と車が入れ替わることはよくあるよ。
皆同じようなところに車呼ぶんだから。
それに酔っ払いとか正常に受け答えできないような客もいるし、客に悪意があれば運転手がなに聞いても無駄。
忠誠心とか大げさなものじゃない。
廃車アプリって行先も入れるんじゃないのか?行先を再確認すればすり替わったかわかるのに。
Re:返金対応で十分 (スコア:2)
廃車アプリって行先も入れるんじゃないのか?
目的地を入れる、ないし入れられるアプリもあるけれど、大半のアプリは目的地は入れない。自分がよく使う「東京無線」とか「東都タクシー」は目的地は入れないし、カード登録もない。逆に某大手タクシーの有名アプリはカードを登録するシステムなのだけれど、外出先でタクシーを呼ぼうとアプリを起動したら、現在位置の入力欄がない。きっと先に進むと、どこに呼ぶかの入力欄が出てくるに違いないと思い、先に進んだら「タクシーの配車完了」のメッセージが出て、慌てて予約を確認したら最初にこのアプリを使ってタクシーを呼んだ場所に勝手に配車されたことになっていた。慌てて配車センターに電話を掛けてキャンセルしてもらったけれど、こんなユーザーインターフェースの悪いアプリは怖くて使えないと思った。しかもこのアプリはカードを登録してあるので勝手に引き落とされてしまう恐れも大きい。
Re:返金対応で十分 (スコア:1)
廃車アプリの行き先ってどこの幽霊タクシーだよ
行先も (スコア:1)
入れる。
では、車内で口頭で変更したいと言えば、多分OKだと思う。
客商売だからね。
ちょっとずるい知恵のある人なら簡単だと思う。
“人生の大半の問題はスルーカで解決できる...
Re: (スコア:0)
なんか悪用する方法が出回ってるんだろうね。
ま、行先変更言い出したら車内でカード通してもらえばいいだけのように思う。
Re: (スコア:0)
GPSで簡単にわかるだろ
Re: (スコア:0)
そんな時にゃぁ、Google Map Timeline
ここは悪いインターネットですね (スコア:0)
割り込んでタダ乗りする手法もインターネッツで広まってたんだろうな
簡単に対策できる (スコア:0)
アプリに「乗車開始」ボタンを付ければいいだけ
まあ付けたら付けたで問題は出るでしょうけど
Re: (スコア:0)
車とアプリで位置情報突き合わせればいいような
Re: (スコア:0)
位置情報だと乗車してからある程度移動しないと検出できないし、
乗せた客を降ろす必要が出てくるから更にトラブルが起きるでしょう
Re: (スコア:0)
車のスピーカーから超音波でIDを流してそれをアプリで拾うとかもっとサイバーなの希望。
Re: (スコア:0)
QRコードとか BLEビーコンとかの既存技術でよくない?
Re:簡単に対策できる (スコア:2)
運「○○さんですか」
客「はい」
運「予約番号をお願いします」
客「△△です」
運「どうぞ」
でいいんじゃないの。変にIT化する必要すらない。
普通の店舗商売でも、予約サービスとかでこのぐらい確認はよくあるものかと。
Re: (スコア:0)
配車センターのおばちゃん(以下おば)「あー、1234号車運転手応答ください」
運転手「はい1234」
おば「配車アプリから予約入りました。XX市XX町○-1、アベ様です。予約番号は104495302910。復唱お願いします。」
運転手「復唱します。XX市XX町○-1、アベ様。予約番号は104945302910」
おば「あー予約番号は104495302910です」
運転手「104495302910」
おば「はい、よろしくおねがいします」
運転手「1234了解」
みたいなことしてるんかな?流石に無いかな。
配車アプリからオペレータ経由せずに位置情報とテキストメッセージ付きで近隣の空車に自動配車する仕組みくらいは当然のごとくあるか。
なければ手間を減らしたいなら予約番号を運転手に通知するためのインフラが要るな。
Re:簡単に対策できる (スコア:2)
「アプリ配車だと、決済はアプリ側で行う」「乗車してから行き先変更できる」って点からすると、
車両とセンターとで双方向に情報をやりとりするシステムは載ってるものだと思うのですが、どうなんですかね?
まあ、予約番号の確認する場合、全桁確認しなくても、それこそ「予約番号下2桁をお願いします」ぐらいで十分だと思うし、それくらいなら無線でもいけると思いますが。
「はま寿司」の無人ペッパー君による本人確認は数字一桁です。
スマホ予約したり、店頭で順番待ち発券したら、予約番号3桁とパスワード1桁が発行される。
順番がきたら予約番号で呼び出されて、ペッパー君画面のパスワードの数字をタッチすると、座席番号タグがプリントアウトされる。
という流れですが、カジュアルな横取り対策はこれぐらいで十分かと。
#3年ぐらい前?の無人案内システムの運用開始当初は、予約番号3桁入力だけで秘密情報による認証なしというシステムで、横取りし放題だろとツッコミどころ満載だったんですが
#去年ぐらい?に改訂されました。
Re:簡単に対策できる (スコア:2)
で、電話受付けもするオペレーターがモニター上で近くのタクシーに配車の打診のメッセージを送信する。運転手はモニター(カーナビ兼用)に表示された依頼先を確認し、その注文を受け付けるか、拒否するか画面のボタンで返信するらしい。運転手の OK が出た場合、配車センターのオペレーターは配車完了のメッセージを顧客のアプリに送信する。
なお、多くのタクシー会社は1日で3回までは拒否を認めているのだけれど、それを超えて拒否すると、その日はペナルティーで一切配車要請はしないことになっているとか。某◯都タクシーはその制限がないので、「あ、こいつはいつも近場の客だ」と運転手に判断されると、なかなか配車がされない…のかも?
手配が完了すると、運転手のモニターに相手の氏名と待ち受け先の住所が表示され、さらに地図上に行き先が表示されるが、この地図が結構不正確。多くのカーナビは団地や施設は表示されても、入り口や玄関、進入路が表示されないため、タクシーの現在位置を地図上で確認すると我が家のあるブロックの周辺をタクシーが何度もグルグル回っているのが確認できる。しばしば我が家のある棟のすぐ傍の(10 m 位先?)広い道路に呼んだタクシーが止まっているのが確認できるので(配車指定先は団地の敷地内にあるマンションの玄関前)、慌てて入り口も、道も、階段もない草の生えた急勾配の「土手」を駆け降りて呼んだタクシーに乗ったりする…。
Re:簡単に対策できる (スコア:1)
今時の無線配車は社内のディスプレイに目的地とお客の名前が表示される。
タクシーがどこにいてどういう状態か(空車か実車か)もセンターから随時わかる。
音声の無線でやり取りするのはど田舎のタクシーだけだよ。
Re: (スコア:0)
MKタクシーのアプリでタクシー呼んだらその方式だったよ。
決済番号をお願いしますと乗車時に言われた。
Re: (スコア:0)
位置情報はもうすでに取ってるんじゃないかな
利用してないだけで
Re: (スコア:0)
使い捨てのIDを発行して利用者のスマホにQRコードで出して運転手は読み取って確認、とかでよくない
Re: (スコア:0)
配車サービス毎に運転手にリーダーを配る羽目になると思う
Re: (スコア:0)
スマホアプリで十分
Re: (スコア:0)
そもそも支払い処理を乗り降りの時にすれば良いのでは?
そもそも運用で対策できる (スコア:0)
アプリに手を入れなくとも運転手が名前をちゃんと聞くだけでかなりの効果が期待できそう。
それでも、もしアプリに手を入れるなら、名前でなく、合言葉で乗れるみたいなのもいいかな。
ワンタイムパスワードみたいな感じで自動生成された合言葉を言えたら乗車できるようなイメージ。(ワンタイムじゃなくて、ユーザーや運転手が設定したものでもいいけど)
QRコードみたいに読み取り機器にかざしてもらったりとか、運転手がカメラで撮影したりとか、余計な機器や手間があまりかからなそう。
Re: (スコア:0)
「今乗った奴は乗っ取り犯だから豚箱に送ってやれ。もちろん料金はそいつ持ちでな」ボタンの方がよくね
普段は押さなくていいんだから
捕まることが知れ渡れば舐めた真似をする奴も現れなくなって押す機会も減っていくだろう
面倒なことしなくても (スコア:0)
配車と支払いで処理を分ければいいだけだろ。
Re: (スコア:0)
twitterを見てると先払いで○○ pay(先払い)ポイント云々では
なので乗ってから「乗車したよ(支払承認)」ボタンを押すくらいの認証はあったほうがいい
複数の会社に予約して最初に来たタクシーに乗って他はバックレの防止に先払いになったんじゃないの