今月はd払いとau PAYを使いたい

今月に入って、d払いとau PAYで市内店舗でポイント還元のキャンペーンが始まった。

対象店舗は多く、郵便局・医療機関以外なら市内で両決済サービスを導入している店はだいたい対象。イトーヨーカドーも対象だよ。

それで、d払いはすでに利用しているから、これは容易に恩恵にあずかれる。

スルガ銀行からのチャージもできるようになったし。(cf. カメラでの本人確認は面倒だし電子署名で)

(もっとも後で調べたらクレジットカード決済でも還元対象らしい)


d払いだけでもよいのだが、還元上限はサービス毎に定められている。

イトーヨーカドー・マツモトキヨシあたりで使えることを考えれば、それだけでは上限に達するだろう。

というわけでau PAYの導入を検討したところだが、こんなキャンペーンがある。

au PAY たぬきの大恩返し冬(コード支払い)

初めての人だと利用額の20%還元ですって。上限は1000ポイントだけど。

しかもイトーヨーカドーは対象店舗である。

ちなみに「たぬき」とはPontaの たぬき のこと、au PAYはPontaと紐付いてるんですね。

ちなみに、au PAYの基礎となるau IDについては、以前動画コンテンツの購入のために作っている。

あまり意識してなかったけどPontaとも紐付いてたみたいですね。

ただし、市のキャンペーンについてはPontaではなく、au PAY残高として還元される模様。


というわけでau PAYを導入してみた。チャージ方法はクレジットカードで。

MastercardならどれでもOK。AMEXもどれでもOK。

VISA・JCBについては発行会社による、(セゾンカードはどのブランドもOK)

というわけでチャージ出来たが、チャージの度に3Dセキュアのパスワードが聞かれるのが煩わしい。

あと、銀行チャージについては、使える銀行がかなり限られている。

クレジットチャージが使える人にとっては楽だが、それでええんかというのはある。


というわけで当面のところはこんなところで。

  • たぬきの大恩返し冬対象の市内店舗 → 上限までau PAY、その後d払い
  • それ以外の市内店舗 → d払い

一応、dポイントの方が利用しやすい(大阪王将の通販で使うから)ということでd払いを優先したい考えはある。

ただ、食費・日用品の大半がau PAY・d払いを使うと、2サービス合わせても上限に達するほどで、

実際にはd払いを優先したいと思っても、au PAYに回らないといけないかもしれない。

d払いとau PAYの使える店舗はそこまで差はない。なのでどっちでもよいと言える。


しかし、このキャンペーンを見て、いろいろ考えたけど、

「食費・日用品の大半がau PAY・d払いを使うと、2サービス合わせても上限に達するほど」ということは、逆に言うとそれ以外の決済は絞らないといけない。

いくらお得でも使える店がさっぱりではどうしょうもないが、

今回、イトーヨーカドーなど普段よりよく買い物に行く店が対象である。

できるだけこういう店に買い物を集中させれば、当然それ以外の店の買い物は減ることになる。

例えば、イオングループの小型スーパーとか普段はよく買い物に行くし、

イトーヨーカドーに比べると頻度は落ちるが、西友も適宜使っている。

しかし、おそらくこのキャンペーン期間は優先度がかなり落ちるだろう。

こういう考えで動くのは僕だけではあるまい。

キャンペーンの影響で売上が落ち込む店はけっこうあるんじゃないか。

消費喚起のためのキャンペーンだが、果たしてこれをきっかけにどれだけ消費は純増するのか?

実際には普段の買い物をできるだけこのキャンペーンの対象にすることになるだろう。

対象店舗の制限が厳しかったりするとどうか知らないけど、対象店舗は多いですから。

一市民としてはおいしいキャンペーンだけど、考えるほどに辛くなる。


ちなみにこの手のキャンペーンはPayPayが多く手がけており、

PayPayの特色として地域キャンペーンの多さを挙げている記事もあった。

後にd払いなどもそういう案件に多く入り込んでいったということだろう。

この手のキャンペーンは住民でなくても、その地域で買い物する人には恩恵があるということ。

その点では市内商工業者への支援という意味合いは大きいのだろう。


なお、au PAYについてはネット決済でもキャンペーンがある。

au PAY たぬきの大恩返し冬(ネット支払い)

来月公開予定の映画のチケットを前売券で買う予定があったのだが、

このキャンペーンの対象にムビチケがあったので、ちょうどいいと購入した。

対象店舗はかなり限られているが、こういうのもある。

松屋もありますね。松屋は市内店舗なら食券を買えば市のキャンペーンの対象だが。

でも、やっぱり松弁ネットは便利だよという話はあって、あえてこっちを使うのもあるかもしれない。

せっかくならこっちも狙ってもいいかもなと思った。

西新宿に運転免許更新に行く

来月までに運転免許の更新をしないといけなくて、

当初は再来週に休暇を取るので、ここで府中試験場に行って更新するつもりだった。

なぜ府中試験場なのかといえば、管轄の警察署は運転免許の更新業務をしていなくて、

それを考慮するともっとも近いのが府中試験場だからである。

運転免許を更新しに試験場に行く


ただ、今日は平日に東京に行く用事があって、その足で運転免許の更新をするかと、

それも最初は府中試験場に寄ろうかとおもったが、電車では行きにくいところである。

うーんと考えていたら、西新宿の都庁内に免許更新センターがあり、

優良運転者限りだが(今年1月から一般運転者講習をやめている)、これは問題ない。

西新宿なら寄り道してもほとんどロスはないですからね。


というわけで新宿駅で降りて、ムービングウォークのある通路を歩き、

都庁前駅の構内を経て都庁第一本庁舎に入り、これを通り抜けて第二本庁舎へ。

正直このルートで行くのは遠かった。

地図でみればわかるのだが、第二本庁舎の場合、甲州街道側から行く方がよっぽど近い。

帰りは甲州街道の地上を歩いて南口へ向かった。

このルートも地下道もある。(でもアップダウンを考えると地上の方がいいか)

まぁシャトルバスに乗ればいいという話もあるんですが。(189円するけど)


運転免許更新の流れは府中試験場と基本的なところは変わらない。

ただ、都庁の限られたスペースにあるので、全体的にかなりコンパクト。

びっくりしたのが適性検査が、カウンターの上に置かれた卓上の視力検査装置でやっていたこと。

卓上氏視覚検査器 KYS-A6213 (ケーワイエス工業)

やってなかったけど信号の3色の検査もできるし、準中型以上の免許で必要になる深視力検査もできるんですね。(言われて見ればその通りか)


あと、東京都では収入証紙を廃止しているので、納付カウンターで申請書に印字を受けるのだが、

クレジットカードなどでの決済ができるようになっていて、QUICPayでパッと払った。

キャッシュレス決済の導入について (警視庁)

あと、納付窓口に書いてあってびっくりしたけど、埼玉県・神奈川県・山梨県などの収入証紙も取扱があるんですね。

これは経由申請(講習は住所地以外の都道府県で受けて更新する制度)に使う。

東京都で講習を受ける場合の窓口は新宿・神田の運転免許更新センターに限定されている。

ちなみに東京都は収入証紙を廃止しているので、警察署などで納付手続が必要らしい。

てっきり事前に納付書をもらって指定金融機関で払うのだと思ったが、そういうわけにはいかないんですね。

他の道府県だと県外の銀行で扱いがあったり、それもなければ郵送で買えたりするんですけどね。現金書留のやりとりなど相当に面倒だが。


写真撮影まで終わると、離れたところにある講習受付に。

5分後ぐらいに講習開始と言われて、タイミングがよかったなと思ったが、

実際のところはひっきりなしに講習をやっているということである。

というのも、教室の座席を間引いている都合ですぐにパンパンになってしまうのだ。

都庁内の比較的狭いところなので、これは一般運転者講習なんてできないわと理解した。

どうせマスク着用してるんだしパンパンにしても……という気はするが、

マスク着用を呼びかけるのはよいが、マスク着用しないと講習を受けさせないというのは、

運転免許という多様な人が受験・更新にやってくるものでは難しいだろう。

一方で講習はほぼ全てがビデオになっており、指導員も大半の時間で教室を離れており、

講習を頻発しなければならないとしても、人員配置は柔軟に対応しているのだろう。


後で調べたら西新宿での運転免許更新はひどく混雑するから注意とありましたね。

14時以降の比較的遅い時間(この時間帯に行っている)はマシらしい。

でも、それでさえこのペースで教室埋まるのかと。それも優良だけに絞ってこれですからね。

なお、神田運転免許センターは一般運転者講習も続けていることからわかるように西新宿ほどひどくないらしい。

なんやかんや言っても都庁は便利なところにあるんですかね。


講習を頻発していたこともあって、到着~講習完了は1時間弱、

優良運転者講習が30分あることを考えれば、速いですよね。

(前に府中試験場に行ったときは1時間半かかったとあった)

これはそれだけ講習の待ち時間が短かったためであって、本質的な差は少ない。

ああ、でも府中試験場のときは教室と運転免許の受取場所は別だったけど、

西新宿ではスペースの都合か、教室を出るときに運転免許を受けとるから、

そこでの待ち時間がないのは多少の時間短縮につながっているか。


講習も30分では基本的なことしかやらないのだけど、

その講習で言われて開いたページにこんなことが書いてあって、その通りだなと。

生活道路などで、時速30kmの速度規制や、一方通行規制などが行われているのは(略)どちらかといえば、歩行者のための道路といえます。

ゾーン30ということで面的な速度規制が行われることも増えましたが。

40km/h規制も30km/h規制も数字だけみればそこまで差はない気がするが、

その意図はかなり違うというのは確からしい。

イトーヨーカドーに買い物に行くのに自転車でそういう道を走るんだけど、

その途中の交差点でこっちが優先道路だし、交差する道路に止まれ標識もあるのに、

けっこうな自転車もバイクも平然と無停止で走って行く怖いところがあって、

一度ひやっとしてからは、こっちが一時停止しているような状況である。

こういう道路だと歩行者が一時停止して安全確認してくれるという期待は出来ませんよね。

そういう道路が30km/h規制になっているというのはその通りだし、

自動車・歩行者の混在が少なく、基本的に横断歩道での横断に期待できる道路なら40km/h以上の規制にしてますよと。それはその通りだなと。

WordPressとTOTP

サーバーに手を入れている話を書きましたが、

このBlogのログインをパスワード+TOTPの2要素認証にした。

WordPressにはそのためのプラグインがあるので簡単である。


ところで、このBlogがWordPressになる以前はTLSクライアント証明書を認証手段に使っていた。

クライアント証明書で通す

ここに書いてありますが、Apacheで”SSLVerifyClient optional”をセットして、

環境変数の$_SERVER[“SSL_CLIENT_S_DN_CN”]を見て認証すると。

実際にはパスワード認証との併用だったが、ブラウザでログインするときは何も入力しなくて済んだ。

ただ、WordPressでこんなマニアックな認証方法は使えませんからね。


TOTP(Time-based One-time Password)の導入は簡単である。

プラグイン/Google Authenticator (WordPress)

これをインストールすればいいんですね。

その上でユーザーの設定にある、”Google Authenticator Settings”をActiveにして、

Secretで”Create new secret”として、”Show/Hide QR Code”でQRコードを表示する。

あとは、これをGoogle Authenticatorなどで読み取れば完了である。

(これ登録完了後も同画面を開くとSecretが平文で表示されているのはどうかと思うが)

あとはログイン時にユーザー名・パスワード・TOTPを入力すればOK。


ところで僕はこのBlogの投稿にOpen Live Writerを使っている。

この場合、TOTPを使ったログインはできなさそうだが、どうすればよいのか?

この場合は”Enable App Password”として、Create new passwordとすると16文字のパスワードが表示される。

これをAPIを使うアプリにコピペしたり転記して記憶させておけばよいと。

(“ABCD EFGH JKLM NPQR”のように空白で区切られているが、空白はあってもなくてもよい)

Create new passwordしてに保存した後に使えるようになる。

Secretは平文表示するくせに、このパスワードは保存後は表示できなくなるのが割に合わない気がするが。


ちなみにこういうアプリパスワードという考え方はGoogleサービスなんかでもありますね。

GoogleではIMAPでGmailを使う場合などにOAuth2.0を使うことを推奨している。

この認証手続きの中で2要素認証を行ったりするわけですね。

僕が使っているThunderbirdはこれに対応しているが、このようなアプリは限られる。

そこでアプリパスワードを発行して使うという選択肢を用意している。

アプリパスワードは漏洩したとしても用途が限られるし、後から抹消することができる。

このため2要素認証の補完に使われることがあると。


ちなみにTOTPが使えなくなったときのワークアラウンドですが、

プラグインフォルダから同プラグインを待避するという方法が紹介されていた。

当たり前ですが、サーバーにログインしてファイルを操作出来る人ならなんとでもなるわけだ。

というわけで問題ないですね。


あとはこのサーバーで単純なパスワード認証に頼ってるのはSMTP-AUTHぐらいかなぁ。

IMAPはTLSクライアント証明書での認証をやっているけど、

SMTPの方はどうもうまくいかないので、あきらめてパスワード認証。

ただしLinux自体のパスワードとは別のものを使ってはいるんだけど。

(Postfix用のパスワードデータベースを作ってある)

これこそアプリパスワードみたいなもんだし、SMTPならそこまで神経質に考えなくてもいいかなとか。

そんなわけで軽視しているところですけど、あと1つってなるとなんとも。

売上金はどうしてつかう

ラクマで300円台で出していた商品が複数売れて、

定形外郵便で送ったら受取連絡が来て、売上として計上された。

さて、この売上金はどうするか。

そのままでは期限があるので、まずは期限が10年と長い楽天キャッシュにチャージするんですけどね。


ヤフオクで取引の度に銀行振込で払っていたのも今は昔。

たいていの個人間取引サービスで売上金は運営会社が一度預かるようになり、

そうすると売った側はどうにかして売上金を受け取らないといけない。

ヤフオク・PayPayフリマでは、PayPay(かつてはYahoo!マネー)へのチャージか銀行振込、

メルカリはメルカリポイントへの交換(本人確認未了の場合)、メルペイへのチャージ、銀行振込、

ラクマの場合は、楽天キャッシュへのチャージか銀行振込と。


ヤフオク・PayPayフリマは自動チャージ設定をしておけば自動的にPayPayに入金される。

本人確認ができていればPayPayは銀行振込での出金ができるので実質同じである。

PayPayを使わない人は売上金を直接、出金指示をすればよいと。

メルペイはメルカリの売上金とメルペイ用にチャージした残高が同一視され(本人確認ができていることが前提)、それはメルペイとしても使えるし、銀行振込での出金も依頼できると。

一方のラクマは楽天キャッシュへのチャージも銀行振込も手動操作が必要である。

もっとも売上金の有効期間(180日)が経過すると、自動的に楽天キャッシュへのチャージが行われるので、

この有効期間というのは銀行振込の猶予期間ということらしい。


ただ、この振込手数料の考え方は各社けっこう違う。

まず、ヤフオク・PayPay、これはPayPayの出金手数料とも同じだが、

PayPay銀行は無料、その他銀行は1回100円である。

もともとヤフオクではジャパンネット銀行(→PayPay銀行)の利用を推奨していた経緯もあり、無料出金をしている人は多いんじゃないか。

次にメルカリだが、メルペイのサービス開始以降は一律200円となっている。

かつては1万円以上にまとめれば無料だったが、今はそうもいかない。

最近、メルカリShopsがサービス開始されたが、事業者向けサービスという位置づけゆえか、

毎月1回、売上金が5000円超である場合に、振込手数料を差し引いて振り込まれる仕組みで、

このため小規模な店舗にとっては振込手数料が軽視できないとか。

ラクマも楽天キャッシュと振込手数料は同じで、

楽天銀行で1万円以上の場合は無料、その他は一律210円だという。

ヤフオクとPayPay銀行と同じようなものかとおもいきや、楽天銀行でも金額まとめないと手数料が取られるという。

まぁどのみち楽天銀行の口座はもう持っていないのですが。

(イーバンク銀行の頃にもっていたが、もうとっくに解約している)


というわけで楽天キャッシュですね。

楽天サービス(Koboが使用頻度高い)か、楽天ペイのネット決済(moraが使用頻度が高い)で使うことになるでしょう。

金額も高々知れてるし、期限は事実上考えなくていいし。

一応、楽天ペイのコード決済でも使えますけど、今使ってないので。

金額次第では考えたけど、やっと1000円ぐらいですからね。

ラクマでの本人確認未了の段階で楽天キャッシュにチャージすると、

楽天キャッシュからの銀行口座への出金はできないらしい。

PHPからPAMを使っていいのか!?

最近、このサーバーに少し手を入れていて、

その中でユーザー認証としてSSH同様のTOTP+パスワードを使いたいと思った。

ワンタイムパスワードとの2要素認証

しかし、これをやる上ではいくつか問題があって、まず1つがroot権限が必要なことである。


PHPにPAMってパッケージがあるんですよね。

Package :: PAM (PECL)

で、以前これを使っていた時期があるんですが、大問題があって、

それはこれを動かすユーザーは/etc/shadowにアクセス出来なければならないということである。

/etc/shadowとは暗号化されたパスワードが記録されているファイルで、通常はrootユーザーしかアクセスできない。

まだうちの環境はphp-cgiだから、apacheユーザーに/etc/shadowを見せられるようにしろとか、そこまでではないが。

これと同じ理屈で言えばTOTPはさらに問題である。

各ユーザーディレクトリ上の.google_authenticatorファイルを詠まないといけないからだ。


ここが1つの問題だと思っていたが、sudoを使えば打開できることがわかった。

sudoとかsu -の実行ぐらいしか使っていないが、もっと多様な使い方ができて、

特定のユーザーに特定のコマンドを利用させるということもできる。

visudoで/etc/sudoerを編集して、

hoge ALL=NOPASSWD:/home/hoge/bin/pamtest

みたいにすれば、このコマンドはhogeユーザーからパスワードなしでroot権限で実行できる。

このコマンドにパスワードを入力して照合結果を伝達する形ならば、安全でしょう。


あとはPAMを使ってパスワード照合するプログラムですが、これはサンプルを見ながらCで書いた。

あんまりだとは思うのですが、他にあまり例がないのでアップロードしておく。

構造がよく理解できなかったのだが、pam_start関数には、

サービス名(/etc/pam.d/[サービス名]に従って認証をする)・ユーザー名とpam_convという構造体を渡す。

このpam_convという構造体には関数ポインタとappdata_ptrというポインタを設定する。

関数ポインタの意味がわからなかったのだが、これはパスワード入力要求の関数である。

この関数にはメッセージの個数を表す変数と、pam_message構造体とpam_response構造体の二重ポインタと、さっき指定したappdata_ptrを受け取るポインタが引数として入力される。

二重ポインタってなんぞと思ったら、pam_responseには自分でcallocとかで確保したポインタを入れるんですって。

それで、その構造体のrespの文字列ポインタにも自分でcallocで確保したポインタを入れるんですって。

freeするのはPAMの方でやってくれるらしい。最初意味がわからなかった。

結果的には標準入力から受け取ったものを確保したメモリ上に投げ込んでるだけである。

最後に判定結果を RESULT:SUCCESS: のように出力して、これを見て判定結果とすると。

コンパイルはこんな感じでやる。-lpamでPAMとリンクされると。

$ gcc pamtest.c -o pamtest -lpam

あとはPHPからこのコマンドをsudo付きで実行すればOKと。

proc_open (PHP)

標準入出力でパスワード・認証結果のやりとりをすることにしたのでこれで。

結果を見てSUCCESSなら処理を進めて、違えば処理を止めると。

TOTPとパスワードが一致すると通り、どちらか合わないとNGとなるということでやりたいことは実現できた。


あえてLinuxのログイン情報をWebの認証手段に使う理由はあまりないと思うが、

とある事情によりこういう形にしたかったところがある。

(一般の人がアクセスするところではないところで使っている)

root権限が必要なのは事実だが、これなら比較的抵抗感は低いかな。

SSH鍵の持ち合わせが無いときのSSHアクセス手段という、

非常に微妙な用途でしか使ってなかったTOTPに新しい用途ができたのはよかったかな。

そのためにこんなことをやるのか? という話はあるが。

シンデレラガールズが10周年?

今日は幕張新都心におでかけ。なにかと行くことは多いですが。

途中、東京・新宿に寄り道しながら向かった。

最近は西口に出ることが少なくて、どこから地上に出るのかわからず迷ってしまった。

入出とも使えるようになった中央西口改札を使うのも初めてだった気がする。

東西自由通路の余波


さて、今日の目的はというと

THE IDOLM@STER CINDERELLA GIRLS 10th ANNIVERSARY M@GICAL WONDERLAND TOUR!!!

シンデレラガールズはちょうど10周年、そうかもう10年か。

始まって半年ぐらいでコンプガチャ騒動があったんだよなぁ。

僕がこのゲームで遊ぶようになったのが1周年目前のころ。(最近はあまり遊べてないが)

声が付いていない状態でキャラがドンドコ増える状態で始まったゲームだったので、

こうしてライブイベントができるようなったのはもう少し経ってからである。


この10周年を記念したツアーは、愛知(常滑)・福岡(北九州)・千葉・沖縄(沖縄市)とあり、

あまり規模が大きくなると制限も大きいだろうと、万単位で動員してきたときよりは控えめ。

インターネット配信との併用は前提であろう。(cf. 24時間インターネット配信番組に切り替える)

ちょうど愛知公演の前に愛知県で新型コロナウイルスの感染状況が悪化し、

これは12月に延期ということになった。


というわけで千葉公演の会場は幕張メッセイベントホールですね。

過去にシンデレラガールズのライブは幕張メッセで3度やってるはずだが、

2回は展示ホール、1回はイベントホールだが5thツアーの地方公演扱いである。

今年の位置づけで言えば普通に考えれば狭すぎるぐらいだが、そこは手堅くできるところということで。

それでも直前に追加申込みを受け付け、ほぼ満席での開催となった。

マスク着用の励行と声出しを控える呼びかけがあり、実効性も十分であろう。


さっきゲームのシンデレラガールズの付き合いを書いたが、

ライブイベントも長くて、1stライブはライブビューイングで見てるし、

ちょうど7年前に東京・代々木公園で行われた2ndライブに行っている。

当時は無知だったので、明治神宮の最寄り駅とは思えない狭さのJR原宿駅に驚愕した覚えもある。

もうすでに今の勤務先への就職も決まっていた頃ですね。

その頃からシンデレラガールズというコンテンツのリアルイベントでの見せ方はあまり変わってない気がする。

舞台はずいぶん派手になったけどね。


モバイルゲームにボイスを付けるという発想がまだなかった時代のゲームが、

未だにそれを引きずって、こうして注目を集め続けているというのはなかなかないと思う。

(声付きのモバイルゲームといえば思いつく、ガールフレンド(仮)のリリースが1年後だから過渡期ではあったんですね)

シンデレラガールズが10周年を迎えたということ自体はあまり不思議には思っていないが、

同時代のモバイルゲームの状況を見るとなかなか信じられないものがある。


終演後は西船橋行きにスムーズに乗り換えできる電車にすぐ乗れて、

案外早く帰宅できた。例によって松弁ネットで注文した弁当で晩ご飯。

2要素認証を使えばいいってもんでもないが

昨日、銀行の2要素認証(ワンタイムパスワード・スマートフォン承認機能)について書いたが、

最近、Twitterのアカウント乗っ取り対策の必要性を訴える話があって、

そこで2要素認証という話があるのだが、なかなか難しいなと思った。


Twitterに限った話ではありませんが、2要素認証を任意で利用できるWebサービスは多い。

僕が任意で2要素認証を使っているものとしては、Dropbox・お名前.comがある。

前者はGoogle Authenticatorを利用したTOTP(Time-based One-time Password)、

後者についてはSMS認証を、それぞれパスワード認証と併用しているわけですね。

ただ、これらの2要素認証を使えるが使っていないサービスは多い。

TwitterとかAmazon.co.jpとか、けっこうあるかもなぁ。

お名前.comはSMS認証が導入されたときから使ってるけど、Dropboxを2要素認証化したのはわりと最近。

2要素認証を使うかは任意なので、アカウントの重要性により判断せよということだと思うが。

(お名前.comはドメイン・サーバー管理に関わることだから、超重要なのは見てわかる通り)


Twitterなんて便所みたいなもんじゃないかという話はありつつ、

企業の広報ツールとして使われることもあり、アカウント乗っ取りは大きな脅威である場合もある。

あと、Twitterを他のアカウントのログイン手段として使っているケースもあるような気もして、

僕もそんな使い方してるのあったかなと調べたら、実はいくつかあって。

わりとしょうもないアカウントだけだと思い込んでたが、バンダイナムコIDと紐付いてることに気づいた。

なんでそんなことしてたんだろ。Twitterに紐付けるのは違うだろうと変更したけど。


それはさておき、Twitterに2要素認証を付けることの課題は、

そんなにログイン頻度が高くない中で2要素認証手段を失ってしまうリスクがあることである。

スマートフォン買い換えたらTwitterにログインできなくなったという話も聞くほどである。

さすがにそれはマヌケにすぎると思うのだが、ここに2要素認証を入れるとそのリスクはさらに高まるんじゃないか。

ちなみにTwitterで利用できる2要素認証としてはSMS・TOTP(Google Authenticator他)・FIDOセキュリティキーがある。

まず、セキュリティキーは普通の人は持ってないし、全てのデバイスに接続できるわけではない。

だからSMSかTOTPということになるが、Twitterの認証を要するのはだいたい新規端末を使い始めるときと考えると、うっかりすると危ないところである。

ワークアラウンドとしてはバックアップコードがあるが、果たして掘り出せるかどうか。


先日、銀行の認証アプリの初期設定は電話番号認証だけでやるところが多いという話を書いた。

ゆうちょ認証アプリの登録に本人確認

ゆうちょ銀行はここに本人確認書類のICチップ読み込みと顔認証を追加すると言っている。

これは従来、窓口での変更手続きが必要だった電話番号変更がATMでできるようになったこととも関連するのではないかと考えていると書いた。

一方で、みずほ銀行は既存ワンタイムパスワード認証に加え、郵送を要する。

ワンタイムパスワードを使えない場合は窓口で対面の手続きが必要となる。

非常に厳格で面倒だが、実店舗を有する みずほ銀行 だからこそ取れる手とも言える。


アカウントの乗っ取り防止とログイン手段の紛失防止を両立できる方法として、

アカウント連携によるログインというのもあるんじゃないかなと思う。

Yahoo!アカウントやGoogleアカウントはそれぞれ電話回線やハードウェアに紐付いている。

また、端末紛失時などのワークアラウンドもきちんと準備されている。

というわけで、できるだけここに紐付けているのだが、パスワードログインを無効化できるものは少ない。

ちなみにTwitterはGoogle・Appleのアカウントに紐付けられる。

ただしGoogleアカウントに紐付けるためにはGoogleに登録されているE-mailアドレスと一致する必要がある。

これがあるからGoogleアカウントへの紐付けが出来てないんだよな。

あと、他のアカウントと紐付けてもパスワードログインは無効化されないはず。

インチキなパスワードに変更しておけば不正ログインのリスクは減ると想うが、根本的にパスワードが使えなくなるわけではない。


というところでTwitterの不正ログイン対策は難しいなと思う。

とはいえ電話番号が変わらないならSMSでいいでしょうね。

もうSMS認証がいろいろなところで使われすぎて、電話番号の変更が非常に難しい時代である。


だいぶ前にYahoo!にパスワードを取り上げられた話を紹介しましたけど。

パスワードを没収されたので

Yahoo!は電話番号が変わろうが、端末を紛失しようが、パスワードは使わないけど。

ただ、他のサービスだとパスワードレス化しても端末変更時だけはパスワードを使うというのがある。

dアカウント(最近アプリ認証に変えた)もLINE(電話番号登録したのでFacebook連携を切った)もそうらしい。

それでパスワード忘れたとしてもパスワードリセットすればいいんだが。

ここら辺はパスワードがバレても、SMS認証など要するので端末変更は容易にできない仕組みですが。


数多のサービスについて、このあたりのリスクはなかなか精査し切れてないですね。

Yahoo!アカウント(Y!mobile携帯電話契約やPayPayとも紐付く)と、Googleアカウント(パスワードマネージャーにID/パスワード多数、Gmail)は注意深く検討したし、

銀行のインターネットバンキングは銀行側からセキュリティ強化の要請が来るからよいが、

そういうのを除いて150ぐらいのアカウントがあるみたいなんですよね。

大半はしょうもないものだが、これは乗っ取られるとマズイというものもあろうと思う。

Twitterはこれまで軽視していたがどうだろう?

ゆうちょ認証アプリの登録に本人確認

ニュースで知ったんだけど、来年早々にゆうちょ銀行のインターネットサービスがいろいろ変わるそう。

「ゆうちょ通帳アプリ」等の機能追加等について~アプリで投資信託のお取引やご送金が可能に~ (ゆうちょ銀行)

ゆうちょ通帳アプリで投資信託・担保低規定額預金の取引や送金(来年3月頃から)ができるようになり、

他行でいうところの銀行アプリとしての機能を完全に持つことになるようである。

ゆうちょ認証アプリは本人確認が導入され、初回登録方法が変更になるそう。

そして、E-mailによるワンタイムパスワード発行は、新規登録は来年1月、既存登録者は2023年5月頃までに廃止になる。

ゆうちょ認証アプリ または ハードウェアトークン を導入しなければゆうちょダイレクトでの送金ができなくなる。


現在のゆうちょ認証アプリの登録手順は意外とシンプルである。

利用者番号・パスワードで認証した後、電話番号認証を行えばそれで終わりである。

これは端末変更時でもそうで、新しい端末で上記の認証を済ませればそれで終わり。

他の銀行だと手順を間違えるととても手間がかかって大変ということがあるが、そういうことはない。

ただ、パスワードと電話番号認証を突破できれば、それだけで登録できるのは雑ではないかと。

そのため登録時に本人確認を行うこととして、

その一方でゆうちょダイレクトのログイン情報だけでなく、記号番号・氏名・生年月日・暗証番号で口座情報を確認できるようになる。

これはゆうちょ通帳アプリではゆうちょダイレクト登録がない人も使えることと関係しているのだと思う。

これ、認証アプリ使う人は実質的にゆうちょダイレクトのパスワードは使う必要が無いってことかな。

(認証アプリを使わないログイン時に使うが、パスワードログインだと送金などできない)


認証アプリ登録時に本人確認は煩わしいなと思ったが、説明を読むとこう書いてある。

KYC では、本人確認書類に登録されている IC 情報を読み取り、登録されているお客さまの情報と登録時に撮影いただく顔の情報、銀行に届け出いただいている情報を照合することで、お客さまにより強固なセキュリティをご提供することを目指します。

ってことはNFC対応であることが前提ですか? まぁ対応してれば写真撮影より楽だが。

あと、本人確認をスキップして電話番号認証だけでの登録も可能らしい。

ただし、この場合は登録してから送金できるまで24時間待ち(今の認証アプリもその条件)で、

1日の送金限度額は5万円までに制限される。逆に言えば5万円までは暗証番号と電話番号認証だけでいいのか。

どちらかというと本人確認できれば24時間待ちがなくなるというのが重要なんですかね。


ゆうちょ認証アプリは一定期間利用が無いと勝手にリセットされるという仕様があり、

これにひっかかってしまうとそのたび再登録が必要になるという大きな問題がある。

僕は一度やらかしてからは用がなくても時々ログインしてる。それで防げるはず。

これはゆうちょ認証アプリ特有だが、銀行の生体認証・ワンタイムパスワード発行するアプリに共通して言えるのは、

端末を変更するときには再登録手続きを行わなければならないことは共通している。

その手順は銀行によりけっこう異なる。


ゆうちょ銀行(現在)・三菱UFJ銀行・三井住友銀行・りそな銀行はいずれも電話番号認証で初期設定を行う。

このため登録している電話番号さえ使えれば、新しい端末だけで再登録ができる。

来年1月以降のゆうちょ銀行はこれ+本人確認、いずれにせよ新しい端末だけでOK。

ちなみにこの4行はいずれもハードウェアトークンとの選択制だが、

ゆうちょ銀行だけはハードウェアトークンの発行が有料(1650円)である。

今回、メールでのワンタイムパスワードを廃止するにあたって、来年1月~2023年5月の新規発行に限っては半額になるそう。

アプリを推奨するが、一応ハードウェアトークンも可能ということである。


みずほ銀行はアプリでのワンタイムパスワードの初回登録には郵便を受け取る必要がある。

初回登録は第2暗証番号だけあればよいが、再登録は今のワンタイムパスワードが必要である。

もしも従来の端末でワンタイムパスワードを取得できないと、窓口での手続きが必要になる。

ただでさえ再登録には郵送で登録用の情報を受け取るまでのタイムラグがあるのにと。

僕は今はハードウェアトークンを使っているが、新規発行は停止している。

このため、今のトークンが電池切れになったらアプリへの変更を強いられるのだが、やだなぁ。

これも電池が完全に切れてワンタイムパスワードが出せなくなると窓口へ行かないといけない。


最後に住信SBIネット銀行、これはアプリの機能としてスマート認証NEOが付帯されている。

これについては、端末変更前にスマート認証NEOを無効化して、新端末でスマート認証NEOの初期登録をするのが原則。

スマート認証NEOが無効の状態から登録するときには、乱数表と電話番号認証による。

では、スマート認証NEOを解除しないまま、従来の端末が使えなくなったときはどうするか?

生年月日・乱数表、電話またはメールアドレスでの認証を行うと解除できるという。

というわけで、できれば従来の端末で手続きをするべきだが、出来ない場合も即時対応できる。


このあたりは認証器というものをどこまで厳格に考えるかというところでもある。

みずほ銀行の対応はかなり厳格であり、認証器を紛失した場合は対面での本人確認を要し、

また郵送を介することで、登録に必要な情報が本人以外が受け取る可能性を減らそうとしている。

しかし、これは明らかに利便性に問題がある。

電話番号認証だけならば簡単だが、何らかの形で本人以外が認証を通せてしまう可能性がある。

住信SBIネット銀行はスマート認証NEOの登録・解除(端末紛失時)に乱数表を併用して、

スマートフォン・電話以外の物を使った認証手段を併用し、強固にしようとしている。

ゆうちょ銀行はここで本人確認を行うというアプローチを取ったわけですね。


あと、ゆうちょ銀行が本人確認を行う理由としては電話番号変更手続きとも関係するのではないか。

多くの銀行で電話番号認証を使っているということは、登録されている電話番号が使えないと困るわけである。

ゆうちょ銀行はわりと最近まで窓口じゃ無いと登録情報の変更ができなかったので大変だった。

今は電話番号の変更はATMでできるようになっている。(いつからできるようになったんだろ?)

キャッシュカードと暗証番号が必要であるが、電話番号が違って詰むことは減った。

しかし、そうして容易に変更されてしまっては電話番号認証というのは弱い認証手段である。

そこで本人確認を併用するべきとなったのではないだろうかと。


この辺は一長一短あると思うのだが、確かにゆうちょ銀行の対応はもっともだなと思う。

あとはこれで運用上の不便が起きないかですね。NFC非対応端末だとどうかとか。

調べてみると、顔認証(画面ロックの指紋・顔認証が使えない場合のものだろう)が厳しいとか、

長期間未使用だと自動的に無効化することとか、登録後24時間使えないこととか、

いろいろな不満が見つかり、これが来年1月以降、改善される部分とそうでない部分があり、

また新しい方式になることで煩雑になる部分もあるので、これはフタを開けてみないとわからない。

最大サイズ以上の荷物と最小サイズの郵便

郵便・荷物の最大サイズというのは意識するけど、最小サイズというのある。

ちょうど最近、最大サイズと最小サイズを意識する出来事が立て続けにあった。


PayPayフリマに出品していた2つの商品をまとめ買いしたいという相談が来た。

仮に商品Aと商品Bとするけど、実は商品Bは変形判の本で、ほぼ正方形の本である。

商品B単独ならばゆうパケットで出せることは計算していたのだが、A+Bを1梱包にするとどうか。

そしたら意外と寸法的にはいけそうで、ただ重量が1kgオーバーになる。

商品Bは宅急便コンパクト(薄型専用BOX)にもレターパックにも入らないから、安価にまとめるのは難しい。

というわけで、商品Aを購入してくれたら、商品Bを値引きするという形でどうだというと、それで買ってくれることになった。

送料的には何のメリットもないが、商品Aも商品Bも値下げしないと売れないだろうなと思ってたから、

このぐらいの値引きで済むのなら、むしろいいぐらいだろうと考えた。


さて、それで商品Aと商品Bをそれぞれ梱包して、いつものようにローソンのスマリボックスへ持ち込んだ。

商品Aの出荷は何も問題はなかったが、商品Bって投函口に入るのかなとあてがうと……入らないな。

どうも投函口の幅は25cmほどで、今回の変形判の本は短辺もこれを超えている。

それでも3辺合計60cm以内なのでゆうパケットのサイズ内のはずだが……

これは郵便局に行かないといけないのかなと思ったが、そういえばとLoppiへ向かう。

LoppiにQRコードを読み込ませると、スマリボックスを使えと出てくるのだが、

「使えない場合」と押すとレジに持っていく受付票が出て、これでレジから発送ができる。

袋と印刷された伝票が渡されるので、伝票を切り離して袋に入れて荷物に貼って店員に託した。

深夜のガラガラのローソンだから店員も付きっきりで教えてくれたけど、かなりめんどくさいな。

ともあれ、これで郵便局に行かずとも発送はできた。翌日にはゆうパケットとして登録されていて一安心。


今回は規定上問題はなかったが、幅25cmを超える荷物・郵便の発送は注意点が多い。

まず、ゆうメール・クリックポストについては34cm×25cm×3cmが最大サイズである。

クリックポストはゆうパケットの一種だが、サイズ規定は少し異なる。

クリックポスト以外のゆうパケットは厚さ3cm以内・長辺34cm以内・3辺合計60cm以内であればOKである。

定形外郵便については34cm×25cm×3cmを超えても、長辺60cm以内・3辺合計90cm以内ならばOKだが、

その場合は規格外サイズとなり割高な料金となることに注意が必要である。

今回は400gほどの荷物だから500g以内の料金が適用となり、規格内390円に対して、規格外510円である。

このため、今回の商品をヤフオク・PayPayフリマのゆうパケットで送らない場合、

ゆうパケットの1cm厚の定価250円がもっとも割安な送り方である。(厚さ別料金のため案外安い)

間違えてクリックポストやゆうメールを使わないように注意が必要である。


また、メルカリ・ラクマのゆうパケットポストについては、長辺34cm以内・3辺合計60cmという点では問題ないが、

「ポストに投函できること」という条件から実質的に幅25cm以内・厚さ3cm以内に制限される。

このため34cm×25cm×3cmかつ3辺合計60cm以内が実質的な最大サイズであることに注意が必要である。

ちなみに郵便局内に設けられた「ポスト」という穴に投函するのはルール違反である。

(以前やってしまったことがあるが、普通に配達されたが、後でNGであることに気づいた)

だから、ゆうメール以上でゆうパケットで送れるサイズというのはかなり特殊ですよ。


さて、最大サイズについて意識することは多いが、逆に郵便・荷物には最小サイズというのがある。

14cm×9cm あるいは 円筒状の場合は長さ14cm・直径3cmの円筒 が最小サイズである。

この14cm×9cmというのは はがきサイズに近く、はがきというのはほぼ最小サイズの郵便である。

小さな荷物だからといって極端に小さな封筒は使えないのである。

なお、ゆうメール・ゆうパケットであっても最小サイズの規定は同じである。


郵便・荷物の重さには封筒の重さも含む。

(ちなみに切手・ラベルの重さは含まなくてよいが、郵便局で測定してもらわないとわからない)

なので、封筒の重さの差で料金が変わっては惜しいわけである。

ラクマに小さな雑貨(割安なので複数個まとめ買いしたが自分で使わない余剰なもの)を出品するのに、

普通郵便を考えたが、厚さ1cm以内は無理なので定形外になるのは仕方ないとして、

長3封筒の半分もあれば入るので、封筒を半分に分けて使えば、多少軽くなっていいのでは? と思った。

しかし長3封筒の長さは235cmであり、この半分は14cmより短い。なので余分は捨てるしかないのである。


ただ、今回、商品Bを送るときに角0封筒の余分を切り取ったものができた。

(幅25cmを超過すると言うことは当然、角2封筒は使えないのである)

長さ10cmぐらいは残って、角0封筒の幅は287cmだから、半分にしてもギリギリ14cm取れる。

というわけで、封筒の残部のリサイクルとして、郵便最小クラスの封筒を2つ作ってしまった。

まぁ長3封筒なんて安いもんなんだし、いらない部分は切って捨ててしまえばいいとも思ったが。

これはもう趣味だな。定規あてがって14cm×9cmを超えていることを確認しながらのり付け。

それで準備してたら今日に想定していた商品が売れましてね。早速これで梱包して送った。

こんなに小さいが厚さ1cmにはやはり入らないので、120円分の切手をペタペタ。


小さい方については、それだけ大きな封筒を使えばよいだけのことでもある。

どうせ定形外なのだから角2封筒でもよかったのである。ただ、そうすると封筒の重さはかなり不利だ。

それに中で小物が自由に動いては困りますからね。むやみに大きくないことも必要である。

それでも基本は長3封筒など定形サイズの封筒を最小と考えるべきだろう。

不要な部分を折ったり切ったりする場合でも長3封筒ならば2/3ほどは残さないといけない。


ちなみにこの最小サイズの郵便に適合した封筒としては、洋3封筒(148cm×98cm)がある。

洋封筒なんて買わないなぁ。洋3封筒は はがき大のカードが入るだけの封筒ですね。

日本は はがき の文化がありますが、世界的に見ればグリーティングカードでも封書で送るのが一般的ですからね。

国際郵便でグリーティングカードとして、どうみても定型郵便25g以下と同じ料金規定があるのはこのためである。

日本発ならばそこまで区別する必要はない。一応「Greeting Card」などの表示をしてカードだけ入れた国際郵便はグリーティングカードの料金表が適用される。(だが特に意味は無い)

どうしても実用重視だと、長3封筒を使いがちだし、別にそれで困らんわけですが。

長3封筒でグリーティングカード送って何が悪いってな。(国内だが実際そういう使い方したことはある)

とはいえ見た目はどうかと思うので、そういうところで洋封筒が選ばれているのでないか。

上場企業の総合出版社はなぜ生まれた?

出版社で上場企業というのは珍しいもので、調べたら売上高の高い順に、

ベネッセ、KADOKAWA、学研ホールディングス、ゼンリン、インプレスホールディングスといったところ。

ベネッセは出版社には違いないが、通信教育の会社というのが一般的な認識であろうし、

学研はベネッセよりは出版社らしいが、教育関係、最近は福祉事業で稼いでいるという。

ゼンリンは地図の会社であって、出版物というよりはデジタル地図の会社という理解であおる。

とすると、大きなところはKADOKAWAとインプレスしか残らないですね。

KADOKAWAについては、ドワンゴと経営統合した経緯もあるが、言うても総合出版社である。

インプレスホールディングスはインプレス、山と溪谷社、リットーミュージックとマニアックな出版社を多く抱えているのが面白い。コンピュータ・アウトドア・音楽では脈略もない。


さて、そんなわけでKADOKAWAというのは総合出版社としては特異である。

講談社や小学館といったところは非公開会社で同族経営が続けられているところである。

ドワンゴとの経営統合は置いておいても、奇妙な出版社という印象はあるし、

それで上場企業であるというところも特異だが、ちょうど昨日、その謎が解けた。

KADOKAWAのメディアミックス全史 サブカルチャーの創造と発展 (BOOK☆WALKER)

KADOKAWAの社史なんですが、今月中は無料で購入できるとのことである。

ここに1980年頃から2010年代に至るまでの角川書店~KADOKAWAの歴史が書かれている。


実は角川書店が上場企業となった大きなきっかけは1993年に当時の角川春樹社長のコカイン密輸を巡るスキャンダルにあったらしい。

その直前に角川歴彦副社長が角川書店から追放され、メディアワークスを創業している。

このときゲーム・ライトノベル関係の編集者や作家などが多く移籍している。

ところがその直後に角川書店の社長がスキャンダルを起こしてはどうしょうもないので、

メディアワークスの角川歴彦社長が角川書店の社長となったのだった。

後にメディアワークスは角川書店の子会社となっている。

だからKADOKAWAの社史において、一部はメディアワークスが本線になる歴史もあるんですね。


で、とりあえず逮捕された社長を追放したはよいものの、依然として筆頭株主だったわけですね。

そこで、経営の透明性を確保するという観点もあって、資本と経営の分離に向けて動くこととなり、

角川春樹元社長とその一族の持分を金融機関に買い取ってもらい、株式上場を目指すこととなった。

こうして1998年に東京証券取引所市場第2部に上場を果たしたわけである。

結局のところ角川春樹元社長の暴走を止められなかったことが、いろいろな問題を引き起こしたわけですよね。

この反省が上場企業の総合出版社という、日本では珍しい存在となる理由だったんですね。

そして、後にドワンゴというIT企業と経営統合し、当初はいろいろあったが、

なんとか軌道に乗り、紙の書籍の出版からデジタルコンテンツの配信プラットフォームまで手がける会社として評価されるに至っている。


さて、出版社に非公開会社が多いのは、出版物への市場からの干渉を避ける意味合いがあるとみられ、

このあたりは新聞社も多くが非上場であるところにも通じる。(cf. 社主から手離れする日)

朝日新聞社は有価証券報告書を提出しているが、新聞ではさっぱり儲かっていないのは有名な話である。

そんな会社が上場企業では新聞事業に注力することは許してもらえないでしょう。

有価証券報告書が出ているからこういう憶測もできるのであって、

講談社も小学館も有価証券報告書出してないから、実情は全くわからない。


短期的な利益を追求するがゆえに、作家の自主性を伸ばすというようなところに課題があるのではないかという指摘はまぁあって。

KADOKAWA夏野社長「失うものよりも得るものが大きい」「日本のIPはまだまだいける」テンセントグループとの資本業務提携にコメント (Yahoo!ニュース)

じゃあ「失うもの」というのは本当に失っていいのかと。具体的になにとは言ってませんが。

しかし、すでにKADOKAWAは上場企業であり、株主からの期待も大きいわけである。

そういう会社だからこその選択だし、それは日本の他の出版社にはマネできないし、

上場企業のやるようなことをマネするようでは、日本のコンテンツの多様性も育んでいけないだろうと。


けっこうこの本は興味深いことがいろいろ書いてあって、

「ザテレビジョン」という雑誌から派生して、ゲーム雑誌「コンプティーク」、アニメ雑誌「Newtype」ができ、

ゲームに注力する中で、ゲーム的な表現を求めて、富士見ファンタジア文庫、角川スニーカー文庫、電撃文庫といったライトノベルのレーベルが生まれ……

それを涵養していくうちにインターネット時代にたどり着いたわけである。

そうか、My Girl(今はなき CD&DLでーた の増刊号に由来)とNewtypeは同根だったというのは驚きの発見だった。

KADOKAWA(旧エンターブレイン)が発売している「My Girl」というムックがある。不定期刊ですかね。

2014年創刊で、当初は女性アイドルのグラビアを掲載する雑誌だったようである。

2016年2月発売のVol.8では”VOICE ACTRESS EDITION”と銘打って女性声優の特集を行った。(略)後に”VOICE ACTRESS EDITION”という表記も消えて、完全に女性声優のグラビアを掲載するムックになっている。

どういう気変わりがあったのか知らないけど、”VOICE ACTRESS EDITION”が当たったのは確かですね。

(主婦の友社が強い)

旧エンターブレインとは書いたけど、1986年に「CDでーた」として創刊したときは角川書店である。

ここに行き着く背景はやはり気になるが、テレビに目を向けてザテレビジョンという雑誌が生まれたことが全てのスタートであることは確からしい。