無縫地帯

ヤマト運輸が「再配達の改善」を謳う野良アプリの利用に注意喚起した内容に見る世も末感

社会問題化した再配達をなくすと標榜するアプリ「ウケトル」が、長いこと問題のありそうな手法でIDとパスワードを収集していたのではないかと話題になっていました。

とある利便性を謳ったスマホアプリが先月末あたりからざわざわしていたのには気付いていたのですが、連休が明けた後も事態は収まっていないようですので遅ればせながら話題として取り上げてみようかと思います。

NurseAngelの日記: 『ウケトル』アプリが危険(スラド 19/4/27)

アプリを使ってないので実際どうかはわかりませんが、発言やFAQなどから察するに

・OAuthによるアプリ連携などを使わず、
・ID/パスワードをアプリで直接保存する
・Webページに直接POSTを送りつけてレスポンスをスクレイピングして情報を得る

みたいなことをやっているのではないかと思われます。スラド
何が問題であるかについては上記のスラド記事を読めば大方は察することができると思いますが、今どきのアプリとしてはかなり筋の良くない建て付けであることは否めません。とくにスラド記事中でも指摘されていますが、ヤマト運輸の場合サードパーティ事業者向けにAPIを提供している事実があるにもかかわらず、このアプリはそうした正規の運用方法に則っていなかったわけでして、なにかやましいことがあったのではないかと疑われても仕方ない側面があると感じてしまいます。ちなみにヤマト運輸の情報連携についてはたとえばYahoo! JAPANアプリからも配送状況を確認するなどのサービスがすでに実現しています。

ヤマト運輸とYahoo! JAPANが連携し、Yahoo! JAPANアプリ等で荷物のお届けを事前にお知らせ(ヤフー/ヤマト運輸 18/10/9)

で、問題となっているアプリの評判についてGoogle Playのユーザーレビューを試しにのぞいてみたのですが、そのままそっと閉じてしまいました。

ウケトル - 自動荷物追跡&再配達依頼をワンクリックで! ユーザーのレビュー(Google Play)

スラド記事の最後でも「それにしても、公式でないアプリにID/PW入力画面が出た時点でアウトなのに、これまで数年誰も指摘しなかったとはなんともはや」と激しく突っ込まれてますが、まったく同意でありましてなぜこんな代物が大きな問題にもならずにずっと放置されてきたのかは不思議なところがあります。まあ、日経でもかなり良い感じで記事として取り上げられたりしていた経緯があるので、中の人が口八丁手八丁な感じなのかもしれません。

私もこの「ウケトル」は使ったことがなかったので問題にはいままで気づきませんでしたが、さすがにこの案件を日経のようなきちんとしているとされる媒体が好意的に報じているとなるとさすがに厳しいものを感じます。

ヨドバシ・ヤマトの配送を即把握、ウケトルがアプリ再配達減へ(日本経済新聞 18/12/27)

27日からヨドバシカメラ(東京・新宿)の通販の配送に対応したほか、2019年1月からはヤマト運輸にも広げる。配達の事前通知を受け、指定日時の変更もできる。社会問題化した再配達を減らす狙い。日本経済新聞
問題は、再配達のような不合理・非効率を減らすメリット以前に、公式ではないフリーライダー的な野良アプリにパスワードなどの情報を入れてしまうことにあります。

こういう記事が出ていれば、読んだ人はヤマト運輸と正式に連携していると勘違いしてアプリからIDやパスワードが求められても安心して入力してしまう可能性はあるでしょう。使う側のITセキュリティに関するリテラシーみたいなものが問われる以前に、こんな杜撰なことを堂々とやらかしてしまうアプリ開発者・提供事業者のモラルが問われる話でしかないだろうと思うわけですが、それでも最終的にはこうしたアプリを使ってIDやパスワードが収集されてしまったユーザーの自己責任ということで話は終わってしまうのでしょうか。