月: 2021年11月

WordPressとTOTP

サーバーに手を入れている話を書きましたが、

このBlogのログインをパスワード+TOTPの2要素認証にした。

WordPressにはそのためのプラグインがあるので簡単である。

ところで、このBlogがWordPressになる以前はTLSクライアント証明書を認証手段に使っていた。

クライアント証明書で通す

ここに書いてありますが、Apacheで”SSLVerifyClient optional”をセットして、

環境変数の$_SERVER[“SSL_CLIENT_S_DN_CN”]を見て認証すると。

実際にはパスワード認証との併用だったが、ブラウザでログインするときは何も入力しなくて済んだ。

ただ、WordPressでこんなマニアックな認証方法は使えませんからね。

TOTP(Time-based One-time Password)の導入は簡単である。

プラグイン/Google Authenticator (WordPress)

これをインストールすればいいんですね。

その上でユーザーの設定にある、”Google Authenticator Settings”をActiveにして、

Secretで”Create new secret”として、”Show/Hide QR Code”でQRコードを表示する。

あとは、これをGoogle Authenticatorなどで読み取れば完了である。

(これ登録完了後も同画面を開くとSecretが平文で表示されているのはどうかと思うが)

あとはログイン時にユーザー名・パスワード・TOTPを入力すればOK。

ところで僕はこのBlogの投稿にOpen Live Writerを使っている。

この場合、TOTPを使ったログインはできなさそうだが、どうすればよいのか?

この場合は”Enable App Password”として、Create new passwordとすると16文字のパスワードが表示される。

これをAPIを使うアプリにコピペしたり転記して記憶させておけばよいと。

(“ABCD EFGH JKLM NPQR”のように空白で区切られているが、空白はあってもなくてもよい)

Create new passwordしてに保存した後に使えるようになる。

Secretは平文表示するくせに、このパスワードは保存後は表示できなくなるのが割に合わない気がするが。

ちなみにこういうアプリパスワードという考え方はGoogleサービスなんかでもありますね。

GoogleではIMAPでGmailを使う場合などにOAuth2.0を使うことを推奨している。

この認証手続きの中で2要素認証を行ったりするわけですね。

僕が使っているThunderbirdはこれに対応しているが、このようなアプリは限られる。

そこでアプリパスワードを発行して使うという選択肢を用意している。

アプリパスワードは漏洩したとしても用途が限られるし、後から抹消することができる。

このため2要素認証の補完に使われることがあると。

ちなみにTOTPが使えなくなったときのワークアラウンドですが、

プラグインフォルダから同プラグインを待避するという方法が紹介されていた。

当たり前ですが、サーバーにログインしてファイルを操作出来る人ならなんとでもなるわけだ。

というわけで問題ないですね。

あとはこのサーバーで単純なパスワード認証に頼ってるのはSMTP-AUTHぐらいかなぁ。

IMAPはTLSクライアント証明書での認証をやっているけど、

SMTPの方はどうもうまくいかないので、あきらめてパスワード認証。

ただしLinux自体のパスワードとは別のものを使ってはいるんだけど。

(Postfix用のパスワードデータベースを作ってある)

これこそアプリパスワードみたいなもんだし、SMTPならそこまで神経質に考えなくてもいいかなとか。

そんなわけで軽視しているところですけど、あと1つってなるとなんとも。

売上金はどうしてつかう

ラクマで300円台で出していた商品が複数売れて、

定形外郵便で送ったら受取連絡が来て、売上として計上された。

さて、この売上金はどうするか。

そのままでは期限があるので、まずは期限が10年と長い楽天キャッシュにチャージするんですけどね。

ヤフオクで取引の度に銀行振込で払っていたのも今は昔。

たいていの個人間取引サービスで売上金は運営会社が一度預かるようになり、

そうすると売った側はどうにかして売上金を受け取らないといけない。

ヤフオク・PayPayフリマでは、PayPay(かつてはYahoo!マネー)へのチャージか銀行振込、

メルカリはメルカリポイントへの交換(本人確認未了の場合)、メルペイへのチャージ、銀行振込、

ラクマの場合は、楽天キャッシュへのチャージか銀行振込と。

ヤフオク・PayPayフリマは自動チャージ設定をしておけば自動的にPayPayに入金される。

本人確認ができていればPayPayは銀行振込での出金ができるので実質同じである。

PayPayを使わない人は売上金を直接、出金指示をすればよいと。

メルペイはメルカリの売上金とメルペイ用にチャージした残高が同一視され(本人確認ができていることが前提)、それはメルペイとしても使えるし、銀行振込での出金も依頼できると。

一方のラクマは楽天キャッシュへのチャージも銀行振込も手動操作が必要である。

もっとも売上金の有効期間(180日)が経過すると、自動的に楽天キャッシュへのチャージが行われるので、

この有効期間というのは銀行振込の猶予期間ということらしい。

ただ、この振込手数料の考え方は各社けっこう違う。

まず、ヤフオク・PayPay、これはPayPayの出金手数料とも同じだが、

PayPay銀行は無料、その他銀行は1回100円である。

もともとヤフオクではジャパンネット銀行(→PayPay銀行)の利用を推奨していた経緯もあり、無料出金をしている人は多いんじゃないか。

次にメルカリだが、メルペイのサービス開始以降は一律200円となっている。

かつては1万円以上にまとめれば無料だったが、今はそうもいかない。

最近、メルカリShopsがサービス開始されたが、事業者向けサービスという位置づけゆえか、

毎月1回、売上金が5000円超である場合に、振込手数料を差し引いて振り込まれる仕組みで、

このため小規模な店舗にとっては振込手数料が軽視できないとか。

ラクマも楽天キャッシュと振込手数料は同じで、

楽天銀行で1万円以上の場合は無料、その他は一律210円だという。

ヤフオクとPayPay銀行と同じようなものかとおもいきや、楽天銀行でも金額まとめないと手数料が取られるという。

まぁどのみち楽天銀行の口座はもう持っていないのですが。

(イーバンク銀行の頃にもっていたが、もうとっくに解約している)

というわけで楽天キャッシュですね。

楽天サービス(Koboが使用頻度高い)か、楽天ペイのネット決済(moraが使用頻度が高い)で使うことになるでしょう。

金額も高々知れてるし、期限は事実上考えなくていいし。

一応、楽天ペイのコード決済でも使えますけど、今使ってないので。

金額次第では考えたけど、やっと1000円ぐらいですからね。

ラクマでの本人確認未了の段階で楽天キャッシュにチャージすると、

楽天キャッシュからの銀行口座への出金はできないらしい。

PHPからPAMを使っていいのか!?

最近、このサーバーに少し手を入れていて、

その中でユーザー認証としてSSH同様のTOTP+パスワードを使いたいと思った。

ワンタイムパスワードとの2要素認証

しかし、これをやる上ではいくつか問題があって、まず1つがroot権限が必要なことである。

PHPにPAMってパッケージがあるんですよね。

Package :: PAM (PECL)

で、以前これを使っていた時期があるんですが、大問題があって、

それはこれを動かすユーザーは/etc/shadowにアクセス出来なければならないということである。

/etc/shadowとは暗号化されたパスワードが記録されているファイルで、通常はrootユーザーしかアクセスできない。

まだうちの環境はphp-cgiだから、apacheユーザーに/etc/shadowを見せられるようにしろとか、そこまでではないが。

これと同じ理屈で言えばTOTPはさらに問題である。

各ユーザーディレクトリ上の.google_authenticatorファイルを詠まないといけないからだ。

ここが1つの問題だと思っていたが、sudoを使えば打開できることがわかった。

sudoとかsu -の実行ぐらいしか使っていないが、もっと多様な使い方ができて、

特定のユーザーに特定のコマンドを利用させるということもできる。

visudoで/etc/sudoerを編集して、

hoge ALL=NOPASSWD:/home/hoge/bin/pamtest

みたいにすれば、このコマンドはhogeユーザーからパスワードなしでroot権限で実行できる。

このコマンドにパスワードを入力して照合結果を伝達する形ならば、安全でしょう。

あとはPAMを使ってパスワード照合するプログラムですが、これはサンプルを見ながらCで書いた。

あんまりだとは思うのですが、他にあまり例がないのでアップロードしておく。

pamtest.cダウンロード

構造がよく理解できなかったのだが、pam_start関数には、

サービス名(/etc/pam.d/[サービス名]に従って認証をする)・ユーザー名とpam_convという構造体を渡す。

このpam_convという構造体には関数ポインタとappdata_ptrというポインタを設定する。

関数ポインタの意味がわからなかったのだが、これはパスワード入力要求の関数である。

この関数にはメッセージの個数を表す変数と、pam_message構造体とpam_response構造体の二重ポインタと、さっき指定したappdata_ptrを受け取るポインタが引数として入力される。

二重ポインタってなんぞと思ったら、pam_responseには自分でcallocとかで確保したポインタを入れるんですって。

それで、その構造体のrespの文字列ポインタにも自分でcallocで確保したポインタを入れるんですって。

freeするのはPAMの方でやってくれるらしい。最初意味がわからなかった。

結果的には標準入力から受け取ったものを確保したメモリ上に投げ込んでるだけである。

最後に判定結果を RESULT:SUCCESS: のように出力して、これを見て判定結果とすると。

コンパイルはこんな感じでやる。-lpamでPAMとリンクされると。

$ gcc pamtest.c -o pamtest -lpam

あとはPHPからこのコマンドをsudo付きで実行すればOKと。

proc_open (PHP)

標準入出力でパスワード・認証結果のやりとりをすることにしたのでこれで。

結果を見てSUCCESSなら処理を進めて、違えば処理を止めると。

TOTPとパスワードが一致すると通り、どちらか合わないとNGとなるということでやりたいことは実現できた。

あえてLinuxのログイン情報をWebの認証手段に使う理由はあまりないと思うが、

とある事情によりこういう形にしたかったところがある。

(一般の人がアクセスするところではないところで使っている)

root権限が必要なのは事実だが、これなら比較的抵抗感は低いかな。

SSH鍵の持ち合わせが無いときのSSHアクセス手段という、

非常に微妙な用途でしか使ってなかったTOTPに新しい用途ができたのはよかったかな。

そのためにこんなことをやるのか? という話はあるが。

シンデレラガールズが10周年?

今日は幕張新都心におでかけ。なにかと行くことは多いですが。

途中、東京・新宿に寄り道しながら向かった。

最近は西口に出ることが少なくて、どこから地上に出るのかわからず迷ってしまった。

入出とも使えるようになった中央西口改札を使うのも初めてだった気がする。

東西自由通路の余波

さて、今日の目的はというと

THE IDOLM@STER CINDERELLA GIRLS 10th ANNIVERSARY M@GICAL WONDERLAND TOUR!!!

シンデレラガールズはちょうど10周年、そうかもう10年か。

始まって半年ぐらいでコンプガチャ騒動があったんだよなぁ。

僕がこのゲームで遊ぶようになったのが1周年目前のころ。(最近はあまり遊べてないが)

声が付いていない状態でキャラがドンドコ増える状態で始まったゲームだったので、

こうしてライブイベントができるようなったのはもう少し経ってからである。

この10周年を記念したツアーは、愛知(常滑)・福岡(北九州)・千葉・沖縄(沖縄市)とあり、

あまり規模が大きくなると制限も大きいだろうと、万単位で動員してきたときよりは控えめ。

インターネット配信との併用は前提であろう。(cf. 24時間インターネット配信番組に切り替える)

ちょうど愛知公演の前に愛知県で新型コロナウイルスの感染状況が悪化し、

これは12月に延期ということになった。

というわけで千葉公演の会場は幕張メッセイベントホールですね。

過去にシンデレラガールズのライブは幕張メッセで3度やってるはずだが、

2回は展示ホール、1回はイベントホールだが5thツアーの地方公演扱いである。

今年の位置づけで言えば普通に考えれば狭すぎるぐらいだが、そこは手堅くできるところということで。

それでも直前に追加申込みを受け付け、ほぼ満席での開催となった。

マスク着用の励行と声出しを控える呼びかけがあり、実効性も十分であろう。

さっきゲームのシンデレラガールズの付き合いを書いたが、

ライブイベントも長くて、1stライブはライブビューイングで見てるし、

ちょうど7年前に東京・代々木公園で行われた2ndライブに行っている。

当時は無知だったので、明治神宮の最寄り駅とは思えない狭さのJR原宿駅に驚愕した覚えもある。

もうすでに今の勤務先への就職も決まっていた頃ですね。

その頃からシンデレラガールズというコンテンツのリアルイベントでの見せ方はあまり変わってない気がする。

舞台はずいぶん派手になったけどね。

モバイルゲームにボイスを付けるという発想がまだなかった時代のゲームが、

未だにそれを引きずって、こうして注目を集め続けているというのはなかなかないと思う。

(声付きのモバイルゲームといえば思いつく、ガールフレンド(仮)のリリースが1年後だから過渡期ではあったんですね)

シンデレラガールズが10周年を迎えたということ自体はあまり不思議には思っていないが、

同時代のモバイルゲームの状況を見るとなかなか信じられないものがある。

終演後は西船橋行きにスムーズに乗り換えできる電車にすぐ乗れて、

案外早く帰宅できた。例によって松弁ネットで注文した弁当で晩ご飯。

2要素認証を使えばいいってもんでもないが

昨日、銀行の2要素認証(ワンタイムパスワード・スマートフォン承認機能)について書いたが、

最近、Twitterのアカウント乗っ取り対策の必要性を訴える話があって、

そこで2要素認証という話があるのだが、なかなか難しいなと思った。

Twitterに限った話ではありませんが、2要素認証を任意で利用できるWebサービスは多い。

僕が任意で2要素認証を使っているものとしては、Dropbox・お名前.comがある。

前者はGoogle Authenticatorを利用したTOTP(Time-based One-time Password)、

後者についてはSMS認証を、それぞれパスワード認証と併用しているわけですね。

ただ、これらの2要素認証を使えるが使っていないサービスは多い。

TwitterとかAmazon.co.jpとか、けっこうあるかもなぁ。

お名前.comはSMS認証が導入されたときから使ってるけど、Dropboxを2要素認証化したのはわりと最近。

2要素認証を使うかは任意なので、アカウントの重要性により判断せよということだと思うが。

(お名前.comはドメイン・サーバー管理に関わることだから、超重要なのは見てわかる通り)

Twitterなんて便所みたいなもんじゃないかという話はありつつ、

企業の広報ツールとして使われることもあり、アカウント乗っ取りは大きな脅威である場合もある。

あと、Twitterを他のアカウントのログイン手段として使っているケースもあるような気もして、

僕もそんな使い方してるのあったかなと調べたら、実はいくつかあって。

わりとしょうもないアカウントだけだと思い込んでたが、バンダイナムコIDと紐付いてることに気づいた。

なんでそんなことしてたんだろ。Twitterに紐付けるのは違うだろうと変更したけど。

それはさておき、Twitterに2要素認証を付けることの課題は、

そんなにログイン頻度が高くない中で2要素認証手段を失ってしまうリスクがあることである。

スマートフォン買い換えたらTwitterにログインできなくなったという話も聞くほどである。

さすがにそれはマヌケにすぎると思うのだが、ここに2要素認証を入れるとそのリスクはさらに高まるんじゃないか。

ちなみにTwitterで利用できる2要素認証としてはSMS・TOTP(Google Authenticator他)・FIDOセキュリティキーがある。

まず、セキュリティキーは普通の人は持ってないし、全てのデバイスに接続できるわけではない。

だからSMSかTOTPということになるが、Twitterの認証を要するのはだいたい新規端末を使い始めるときと考えると、うっかりすると危ないところである。

ワークアラウンドとしてはバックアップコードがあるが、果たして掘り出せるかどうか。

先日、銀行の認証アプリの初期設定は電話番号認証だけでやるところが多いという話を書いた。

ゆうちょ認証アプリの登録に本人確認

ゆうちょ銀行はここに本人確認書類のICチップ読み込みと顔認証を追加すると言っている。

これは従来、窓口での変更手続きが必要だった電話番号変更がATMでできるようになったこととも関連するのではないかと考えていると書いた。

一方で、みずほ銀行は既存ワンタイムパスワード認証に加え、郵送を要する。

ワンタイムパスワードを使えない場合は窓口で対面の手続きが必要となる。

非常に厳格で面倒だが、実店舗を有する みずほ銀行 だからこそ取れる手とも言える。

アカウントの乗っ取り防止とログイン手段の紛失防止を両立できる方法として、

アカウント連携によるログインというのもあるんじゃないかなと思う。

Yahoo!アカウントやGoogleアカウントはそれぞれ電話回線やハードウェアに紐付いている。

また、端末紛失時などのワークアラウンドもきちんと準備されている。

というわけで、できるだけここに紐付けているのだが、パスワードログインを無効化できるものは少ない。

ちなみにTwitterはGoogle・Appleのアカウントに紐付けられる。

ただしGoogleアカウントに紐付けるためにはGoogleに登録されているE-mailアドレスと一致する必要がある。

これがあるからGoogleアカウントへの紐付けが出来てないんだよな。

あと、他のアカウントと紐付けてもパスワードログインは無効化されないはず。

インチキなパスワードに変更しておけば不正ログインのリスクは減ると想うが、根本的にパスワードが使えなくなるわけではない。

というところでTwitterの不正ログイン対策は難しいなと思う。

とはいえ電話番号が変わらないならSMSでいいでしょうね。

もうSMS認証がいろいろなところで使われすぎて、電話番号の変更が非常に難しい時代である。

だいぶ前にYahoo!にパスワードを取り上げられた話を紹介しましたけど。

パスワードを没収されたので

Yahoo!は電話番号が変わろうが、端末を紛失しようが、パスワードは使わないけど。

ただ、他のサービスだとパスワードレス化しても端末変更時だけはパスワードを使うというのがある。

dアカウント(最近アプリ認証に変えた)もLINE(電話番号登録したのでFacebook連携を切った)もそうらしい。

それでパスワード忘れたとしてもパスワードリセットすればいいんだが。

ここら辺はパスワードがバレても、SMS認証など要するので端末変更は容易にできない仕組みですが。

数多のサービスについて、このあたりのリスクはなかなか精査し切れてないですね。

Yahoo!アカウント(Y!mobile携帯電話契約やPayPayとも紐付く)と、Googleアカウント(パスワードマネージャーにID/パスワード多数、Gmail)は注意深く検討したし、

銀行のインターネットバンキングは銀行側からセキュリティ強化の要請が来るからよいが、

そういうのを除いて150ぐらいのアカウントがあるみたいなんですよね。

大半はしょうもないものだが、これは乗っ取られるとマズイというものもあろうと思う。

Twitterはこれまで軽視していたがどうだろう?

ゆうちょ認証アプリの登録に本人確認

ニュースで知ったんだけど、来年早々にゆうちょ銀行のインターネットサービスがいろいろ変わるそう。

「ゆうちょ通帳アプリ」等の機能追加等について~アプリで投資信託のお取引やご送金が可能に~ (ゆうちょ銀行)

ゆうちょ通帳アプリで投資信託・担保低規定額預金の取引や送金(来年3月頃から)ができるようになり、

他行でいうところの銀行アプリとしての機能を完全に持つことになるようである。

ゆうちょ認証アプリは本人確認が導入され、初回登録方法が変更になるそう。

そして、E-mailによるワンタイムパスワード発行は、新規登録は来年1月、既存登録者は2023年5月頃までに廃止になる。

ゆうちょ認証アプリ または ハードウェアトークン を導入しなければゆうちょダイレクトでの送金ができなくなる。

現在のゆうちょ認証アプリの登録手順は意外とシンプルである。

利用者番号・パスワードで認証した後、電話番号認証を行えばそれで終わりである。

これは端末変更時でもそうで、新しい端末で上記の認証を済ませればそれで終わり。

他の銀行だと手順を間違えるととても手間がかかって大変ということがあるが、そういうことはない。

ただ、パスワードと電話番号認証を突破できれば、それだけで登録できるのは雑ではないかと。

そのため登録時に本人確認を行うこととして、

その一方でゆうちょダイレクトのログイン情報だけでなく、記号番号・氏名・生年月日・暗証番号で口座情報を確認できるようになる。

これはゆうちょ通帳アプリではゆうちょダイレクト登録がない人も使えることと関係しているのだと思う。

これ、認証アプリ使う人は実質的にゆうちょダイレクトのパスワードは使う必要が無いってことかな。

(認証アプリを使わないログイン時に使うが、パスワードログインだと送金などできない)

認証アプリ登録時に本人確認は煩わしいなと思ったが、説明を読むとこう書いてある。

KYC では、本人確認書類に登録されている IC 情報を読み取り、登録されているお客さまの情報と登録時に撮影いただく顔の情報、銀行に届け出いただいている情報を照合することで、お客さまにより強固なセキュリティをご提供することを目指します。

ってことはNFC対応であることが前提ですか? まぁ対応してれば写真撮影より楽だが。

あと、本人確認をスキップして電話番号認証だけでの登録も可能らしい。

ただし、この場合は登録してから送金できるまで24時間待ち(今の認証アプリもその条件)で、

1日の送金限度額は5万円までに制限される。逆に言えば5万円までは暗証番号と電話番号認証だけでいいのか。

どちらかというと本人確認できれば24時間待ちがなくなるというのが重要なんですかね。

ゆうちょ認証アプリは一定期間利用が無いと勝手にリセットされるという仕様があり、

これにひっかかってしまうとそのたび再登録が必要になるという大きな問題がある。

僕は一度やらかしてからは用がなくても時々ログインしてる。それで防げるはず。

これはゆうちょ認証アプリ特有だが、銀行の生体認証・ワンタイムパスワード発行するアプリに共通して言えるのは、

端末を変更するときには再登録手続きを行わなければならないことは共通している。

その手順は銀行によりけっこう異なる。

ゆうちょ銀行(現在)・三菱UFJ銀行・三井住友銀行・りそな銀行はいずれも電話番号認証で初期設定を行う。

このため登録している電話番号さえ使えれば、新しい端末だけで再登録ができる。

来年1月以降のゆうちょ銀行はこれ+本人確認、いずれにせよ新しい端末だけでOK。

ちなみにこの4行はいずれもハードウェアトークンとの選択制だが、

ゆうちょ銀行だけはハードウェアトークンの発行が有料(1650円)である。

今回、メールでのワンタイムパスワードを廃止するにあたって、来年1月~2023年5月の新規発行に限っては半額になるそう。

アプリを推奨するが、一応ハードウェアトークンも可能ということである。

みずほ銀行はアプリでのワンタイムパスワードの初回登録には郵便を受け取る必要がある。

初回登録は第2暗証番号だけあればよいが、再登録は今のワンタイムパスワードが必要である。

もしも従来の端末でワンタイムパスワードを取得できないと、窓口での手続きが必要になる。

ただでさえ再登録には郵送で登録用の情報を受け取るまでのタイムラグがあるのにと。

僕は今はハードウェアトークンを使っているが、新規発行は停止している。

このため、今のトークンが電池切れになったらアプリへの変更を強いられるのだが、やだなぁ。

これも電池が完全に切れてワンタイムパスワードが出せなくなると窓口へ行かないといけない。

最後に住信SBIネット銀行、これはアプリの機能としてスマート認証NEOが付帯されている。

これについては、端末変更前にスマート認証NEOを無効化して、新端末でスマート認証NEOの初期登録をするのが原則。

スマート認証NEOが無効の状態から登録するときには、乱数表と電話番号認証による。

では、スマート認証NEOを解除しないまま、従来の端末が使えなくなったときはどうするか?

生年月日・乱数表、電話またはメールアドレスでの認証を行うと解除できるという。

というわけで、できれば従来の端末で手続きをするべきだが、出来ない場合も即時対応できる。

このあたりは認証器というものをどこまで厳格に考えるかというところでもある。

みずほ銀行の対応はかなり厳格であり、認証器を紛失した場合は対面での本人確認を要し、

また郵送を介することで、登録に必要な情報が本人以外が受け取る可能性を減らそうとしている。

しかし、これは明らかに利便性に問題がある。

電話番号認証だけならば簡単だが、何らかの形で本人以外が認証を通せてしまう可能性がある。

住信SBIネット銀行はスマート認証NEOの登録・解除(端末紛失時)に乱数表を併用して、

スマートフォン・電話以外の物を使った認証手段を併用し、強固にしようとしている。

ゆうちょ銀行はここで本人確認を行うというアプローチを取ったわけですね。

あと、ゆうちょ銀行が本人確認を行う理由としては電話番号変更手続きとも関係するのではないか。

多くの銀行で電話番号認証を使っているということは、登録されている電話番号が使えないと困るわけである。

ゆうちょ銀行はわりと最近まで窓口じゃ無いと登録情報の変更ができなかったので大変だった。

今は電話番号の変更はATMでできるようになっている。(いつからできるようになったんだろ?)

キャッシュカードと暗証番号が必要であるが、電話番号が違って詰むことは減った。

しかし、そうして容易に変更されてしまっては電話番号認証というのは弱い認証手段である。

そこで本人確認を併用するべきとなったのではないだろうかと。

この辺は一長一短あると思うのだが、確かにゆうちょ銀行の対応はもっともだなと思う。

あとはこれで運用上の不便が起きないかですね。NFC非対応端末だとどうかとか。

調べてみると、顔認証(画面ロックの指紋・顔認証が使えない場合のものだろう)が厳しいとか、

長期間未使用だと自動的に無効化することとか、登録後24時間使えないこととか、

いろいろな不満が見つかり、これが来年1月以降、改善される部分とそうでない部分があり、

また新しい方式になることで煩雑になる部分もあるので、これはフタを開けてみないとわからない。

最大サイズ以上の荷物と最小サイズの郵便

郵便・荷物の最大サイズというのは意識するけど、最小サイズというのある。

ちょうど最近、最大サイズと最小サイズを意識する出来事が立て続けにあった。

PayPayフリマに出品していた2つの商品をまとめ買いしたいという相談が来た。

仮に商品Aと商品Bとするけど、実は商品Bは変形判の本で、ほぼ正方形の本である。

商品B単独ならばゆうパケットで出せることは計算していたのだが、A+Bを1梱包にするとどうか。

そしたら意外と寸法的にはいけそうで、ただ重量が1kgオーバーになる。

商品Bは宅急便コンパクト(薄型専用BOX)にもレターパックにも入らないから、安価にまとめるのは難しい。

というわけで、商品Aを購入してくれたら、商品Bを値引きするという形でどうだというと、それで買ってくれることになった。

送料的には何のメリットもないが、商品Aも商品Bも値下げしないと売れないだろうなと思ってたから、

このぐらいの値引きで済むのなら、むしろいいぐらいだろうと考えた。

さて、それで商品Aと商品Bをそれぞれ梱包して、いつものようにローソンのスマリボックスへ持ち込んだ。

商品Aの出荷は何も問題はなかったが、商品Bって投函口に入るのかなとあてがうと……入らないな。

どうも投函口の幅は25cmほどで、今回の変形判の本は短辺もこれを超えている。

それでも3辺合計60cm以内なのでゆうパケットのサイズ内のはずだが……

これは郵便局に行かないといけないのかなと思ったが、そういえばとLoppiへ向かう。

LoppiにQRコードを読み込ませると、スマリボックスを使えと出てくるのだが、

「使えない場合」と押すとレジに持っていく受付票が出て、これでレジから発送ができる。

袋と印刷された伝票が渡されるので、伝票を切り離して袋に入れて荷物に貼って店員に託した。

深夜のガラガラのローソンだから店員も付きっきりで教えてくれたけど、かなりめんどくさいな。

ともあれ、これで郵便局に行かずとも発送はできた。翌日にはゆうパケットとして登録されていて一安心。

今回は規定上問題はなかったが、幅25cmを超える荷物・郵便の発送は注意点が多い。

まず、ゆうメール・クリックポストについては34cm×25cm×3cmが最大サイズである。

クリックポストはゆうパケットの一種だが、サイズ規定は少し異なる。

クリックポスト以外のゆうパケットは厚さ3cm以内・長辺34cm以内・3辺合計60cm以内であればOKである。

定形外郵便については34cm×25cm×3cmを超えても、長辺60cm以内・3辺合計90cm以内ならばOKだが、

その場合は規格外サイズとなり割高な料金となることに注意が必要である。

今回は400gほどの荷物だから500g以内の料金が適用となり、規格内390円に対して、規格外510円である。

このため、今回の商品をヤフオク・PayPayフリマのゆうパケットで送らない場合、

ゆうパケットの1cm厚の定価250円がもっとも割安な送り方である。(厚さ別料金のため案外安い)

間違えてクリックポストやゆうメールを使わないように注意が必要である。

また、メルカリ・ラクマのゆうパケットポストについては、長辺34cm以内・3辺合計60cmという点では問題ないが、

「ポストに投函できること」という条件から実質的に幅25cm以内・厚さ3cm以内に制限される。

このため34cm×25cm×3cmかつ3辺合計60cm以内が実質的な最大サイズであることに注意が必要である。

ちなみに郵便局内に設けられた「ポスト」という穴に投函するのはルール違反である。

(以前やってしまったことがあるが、普通に配達されたが、後でNGであることに気づいた)

だから、ゆうメール以上でゆうパケットで送れるサイズというのはかなり特殊ですよ。

さて、最大サイズについて意識することは多いが、逆に郵便・荷物には最小サイズというのがある。

14cm×9cm あるいは 円筒状の場合は長さ14cm・直径3cmの円筒 が最小サイズである。

この14cm×9cmというのは はがきサイズに近く、はがきというのはほぼ最小サイズの郵便である。

小さな荷物だからといって極端に小さな封筒は使えないのである。

なお、ゆうメール・ゆうパケットであっても最小サイズの規定は同じである。

郵便・荷物の重さには封筒の重さも含む。

(ちなみに切手・ラベルの重さは含まなくてよいが、郵便局で測定してもらわないとわからない)

なので、封筒の重さの差で料金が変わっては惜しいわけである。

ラクマに小さな雑貨(割安なので複数個まとめ買いしたが自分で使わない余剰なもの)を出品するのに、

普通郵便を考えたが、厚さ1cm以内は無理なので定形外になるのは仕方ないとして、

長3封筒の半分もあれば入るので、封筒を半分に分けて使えば、多少軽くなっていいのでは? と思った。

しかし長3封筒の長さは235cmであり、この半分は14cmより短い。なので余分は捨てるしかないのである。

ただ、今回、商品Bを送るときに角0封筒の余分を切り取ったものができた。

(幅25cmを超過すると言うことは当然、角2封筒は使えないのである)

長さ10cmぐらいは残って、角0封筒の幅は287cmだから、半分にしてもギリギリ14cm取れる。

というわけで、封筒の残部のリサイクルとして、郵便最小クラスの封筒を2つ作ってしまった。

まぁ長3封筒なんて安いもんなんだし、いらない部分は切って捨ててしまえばいいとも思ったが。

これはもう趣味だな。定規あてがって14cm×9cmを超えていることを確認しながらのり付け。

それで準備してたら今日に想定していた商品が売れましてね。早速これで梱包して送った。

こんなに小さいが厚さ1cmにはやはり入らないので、120円分の切手をペタペタ。

小さい方については、それだけ大きな封筒を使えばよいだけのことでもある。

どうせ定形外なのだから角2封筒でもよかったのである。ただ、そうすると封筒の重さはかなり不利だ。

それに中で小物が自由に動いては困りますからね。むやみに大きくないことも必要である。

それでも基本は長3封筒など定形サイズの封筒を最小と考えるべきだろう。

不要な部分を折ったり切ったりする場合でも長3封筒ならば2/3ほどは残さないといけない。

ちなみにこの最小サイズの郵便に適合した封筒としては、洋3封筒(148cm×98cm)がある。

洋封筒なんて買わないなぁ。洋3封筒は はがき大のカードが入るだけの封筒ですね。

日本は はがき の文化がありますが、世界的に見ればグリーティングカードでも封書で送るのが一般的ですからね。

国際郵便でグリーティングカードとして、どうみても定型郵便25g以下と同じ料金規定があるのはこのためである。

日本発ならばそこまで区別する必要はない。一応「Greeting Card」などの表示をしてカードだけ入れた国際郵便はグリーティングカードの料金表が適用される。(だが特に意味は無い)

どうしても実用重視だと、長3封筒を使いがちだし、別にそれで困らんわけですが。

長3封筒でグリーティングカード送って何が悪いってな。(国内だが実際そういう使い方したことはある)

とはいえ見た目はどうかと思うので、そういうところで洋封筒が選ばれているのでないか。

上場企業の総合出版社はなぜ生まれた?

出版社で上場企業というのは珍しいもので、調べたら売上高の高い順に、

ベネッセ、KADOKAWA、学研ホールディングス、ゼンリン、インプレスホールディングスといったところ。

ベネッセは出版社には違いないが、通信教育の会社というのが一般的な認識であろうし、

学研はベネッセよりは出版社らしいが、教育関係、最近は福祉事業で稼いでいるという。

ゼンリンは地図の会社であって、出版物というよりはデジタル地図の会社という理解であおる。

とすると、大きなところはKADOKAWAとインプレスしか残らないですね。

KADOKAWAについては、ドワンゴと経営統合した経緯もあるが、言うても総合出版社である。

インプレスホールディングスはインプレス、山と溪谷社、リットーミュージックとマニアックな出版社を多く抱えているのが面白い。コンピュータ・アウトドア・音楽では脈略もない。

さて、そんなわけでKADOKAWAというのは総合出版社としては特異である。

講談社や小学館といったところは非公開会社で同族経営が続けられているところである。

ドワンゴとの経営統合は置いておいても、奇妙な出版社という印象はあるし、

それで上場企業であるというところも特異だが、ちょうど昨日、その謎が解けた。

KADOKAWAのメディアミックス全史 サブカルチャーの創造と発展 (BOOK☆WALKER)

KADOKAWAの社史なんですが、今月中は無料で購入できるとのことである。

ここに1980年頃から2010年代に至るまでの角川書店~KADOKAWAの歴史が書かれている。

実は角川書店が上場企業となった大きなきっかけは1993年に当時の角川春樹社長のコカイン密輸を巡るスキャンダルにあったらしい。

その直前に角川歴彦副社長が角川書店から追放され、メディアワークスを創業している。

このときゲーム・ライトノベル関係の編集者や作家などが多く移籍している。

ところがその直後に角川書店の社長がスキャンダルを起こしてはどうしょうもないので、

メディアワークスの角川歴彦社長が角川書店の社長となったのだった。

後にメディアワークスは角川書店の子会社となっている。

だからKADOKAWAの社史において、一部はメディアワークスが本線になる歴史もあるんですね。

で、とりあえず逮捕された社長を追放したはよいものの、依然として筆頭株主だったわけですね。

そこで、経営の透明性を確保するという観点もあって、資本と経営の分離に向けて動くこととなり、

角川春樹元社長とその一族の持分を金融機関に買い取ってもらい、株式上場を目指すこととなった。

こうして1998年に東京証券取引所市場第2部に上場を果たしたわけである。

結局のところ角川春樹元社長の暴走を止められなかったことが、いろいろな問題を引き起こしたわけですよね。

この反省が上場企業の総合出版社という、日本では珍しい存在となる理由だったんですね。

そして、後にドワンゴというIT企業と経営統合し、当初はいろいろあったが、

なんとか軌道に乗り、紙の書籍の出版からデジタルコンテンツの配信プラットフォームまで手がける会社として評価されるに至っている。

さて、出版社に非公開会社が多いのは、出版物への市場からの干渉を避ける意味合いがあるとみられ、

このあたりは新聞社も多くが非上場であるところにも通じる。(cf. 社主から手離れする日)

朝日新聞社は有価証券報告書を提出しているが、新聞ではさっぱり儲かっていないのは有名な話である。

そんな会社が上場企業では新聞事業に注力することは許してもらえないでしょう。

有価証券報告書が出ているからこういう憶測もできるのであって、

講談社も小学館も有価証券報告書出してないから、実情は全くわからない。

短期的な利益を追求するがゆえに、作家の自主性を伸ばすというようなところに課題があるのではないかという指摘はまぁあって。

KADOKAWA夏野社長「失うものよりも得るものが大きい」「日本のIPはまだまだいける」テンセントグループとの資本業務提携にコメント (Yahoo!ニュース)

じゃあ「失うもの」というのは本当に失っていいのかと。具体的になにとは言ってませんが。

しかし、すでにKADOKAWAは上場企業であり、株主からの期待も大きいわけである。

そういう会社だからこその選択だし、それは日本の他の出版社にはマネできないし、

上場企業のやるようなことをマネするようでは、日本のコンテンツの多様性も育んでいけないだろうと。

けっこうこの本は興味深いことがいろいろ書いてあって、

「ザテレビジョン」という雑誌から派生して、ゲーム雑誌「コンプティーク」、アニメ雑誌「Newtype」ができ、

ゲームに注力する中で、ゲーム的な表現を求めて、富士見ファンタジア文庫、角川スニーカー文庫、電撃文庫といったライトノベルのレーベルが生まれ……

それを涵養していくうちにインターネット時代にたどり着いたわけである。

そうか、My Girl(今はなき CD&DLでーた の増刊号に由来)とNewtypeは同根だったというのは驚きの発見だった。

KADOKAWA(旧エンターブレイン)が発売している「My Girl」というムックがある。不定期刊ですかね。

2014年創刊で、当初は女性アイドルのグラビアを掲載する雑誌だったようである。

2016年2月発売のVol.8では”VOICE ACTRESS EDITION”と銘打って女性声優の特集を行った。(略)後に”VOICE ACTRESS EDITION”という表記も消えて、完全に女性声優のグラビアを掲載するムックになっている。

どういう気変わりがあったのか知らないけど、”VOICE ACTRESS EDITION”が当たったのは確かですね。

(主婦の友社が強い)

旧エンターブレインとは書いたけど、1986年に「CDでーた」として創刊したときは角川書店である。

ここに行き着く背景はやはり気になるが、テレビに目を向けてザテレビジョンという雑誌が生まれたことが全てのスタートであることは確からしい。

店舗併売に商品不備はつきものか

最近、いくつかのテーマで中古の本を買いあさっていて、

なんやかんやと頼りになるのは駿河屋である。

駿河屋自身の通販とマーケットプレイス、どちらも重宝している。

駿河屋は注文~発送が遅いのは悩みの種だが、比較的安価な商品をまとめ買いするならここにはかなわない。

主に店舗併売のマーケットプレイスとあわせて商品状況を確認出来るのは助かる。

マーケットプレイスって店舗在庫

そんな駿河屋マーケットプレイスで2つの店に注文していたのだが、立て続けにメッセージが届いた。

基本的に何も無ければメッセージなんて届かないので、商品不備などあったということである。

1つ目の店からは欠品があったというものである。

2冊注文していたうちの1冊が欠品だが、もう1冊は送料が定額ならと追加した本だった。

こうすると全部キャンセルしたいなということで申し出ると、全部キャンセルしてもらえた。

こういうのもOKなんですね。

通販で欠品というのはどうかと思うが、店舗併売という性質上、欠品はあっても仕方ない。

なので、単に欠品というだけならば、そこまでネガティブな印象は持たない。

しかし、この店が欠品の連絡をしてきたのは、注文受信(毎朝8時に締め切り)の5日後である。

こういうのは朝に締め切りをしたら、開店前とか開店早々にピックアップするものだと思った。

そしたら、注文受信日には欠品という連絡があってもよかったはずである。

これはもしや注文を受信してから、ピックアップまで日数かけてるうちに売れたのでは?

そんな疑惑も出てくる。でも、実際のところはわかりませんが。でも待たせすぎである。

2つ目の店からは商品に日焼けがあったからと、写真を送ってきて、

この状態で当初より値引いた価格で買うか、キャンセルにするかという確認であった。

中身には問題ないだろうし、これならいいよということでゴーサインを出した。少し安く買えてラッキーなぐらい。

こちらは注文受信の2日後である。土曜朝に注文が届いて、在庫だけ確保して、翌平日に発送作業をしようという作戦で、発送時の検品作業で明らかになったとすれば不思議ではない。

というわけで、こちらはわりと理解できる話である。明日発送ですかね。

店舗併売というのは難しいとは思うんですけど。

ただ、買い取った商品を店舗に陳列しながら、全国に向けて売れるのは魅力的だと思うし。

もちろん通販在庫と店舗在庫の交換というのも行われているはずであって、

在庫を転送するのか、店舗陳列だけでやるのか、店舗・マーケットプレイス併売がよいのか、この辺はいろいろノウハウはあると思う。

実は購入する方からすると、マーケットプレイスの方が発送が早くて、送料負担も案外重くないので、

よっぽど小額で無ければ、マーケットプレイスというのはむしろよい印象はある。

ただ、この辺の対応は店次第ですね。

対応が早い店が多い印象はあるが、1週間近く待たせて欠品なんていう店もあったのは確かだ。

ところでこの話とはあまり関係ないんだけど、最近の駿河屋の買い物は専らPayPayで、

画面に表示されるQRコードをPayPayアプリで読み取り(これが一番早い)決済しているところである。

そんな決済手段の一覧で筆頭にあるのが「エポスかんたん決済」なのだが、

これ何だ? と今さら気になって調べた。

結論から言えば、エポスカードでのクレジットカード払いである。

ただ、エポスNetのIDでログインして決済すること、カード現物を見なくてよい(なのでカード申込み後、カード受取前から使える)、ポイントをその場で充当できることが違うという。

確かに「駿河屋エポスカード誕生 新規ご入会後 駿河屋JPでスグ使える」というバナーがある。

そういう意味があったんですね。

あれもこれも すかいらーく

昨日、横浜アリーナを出て、環状2号線(と青看板に書いてあった)を東へ進み、

その先にあるバーミアンで昼食を食べた。

この背景としては、メルカリでヨークマートで使えるクーポンを受け取っていたことがあって、

ヨークマートとか近所にないから使えないねと地図を見てたら、

横浜アリーナから比較的近い港北区大倉山にあることが判明し、

大倉山というと東急東横線の駅があるから、菊名から乗るのに比べてそこまで遠回りにはならない。

その途中になんかいいところあるかいと調べたら浮かび上がったのがバーミヤンだったと。

ヨークマートはさておき、近くで遅めの昼食をとりたい人は案外多かったらしく、来客が集中していたが、

この時間だと食べ終わる人も多いから、かわりばんこでわりと早く案内されていたようだ。

麻婆豆腐と餃子でも食べるかと、ガストでも見たタブレットで注文をして待つ。

その間にタブレットはスクリーンセーバーということで、映像が流れるようになっていて、

なぜか すかいらーくグループ各店の制服紹介が流れていた。調べたらYouTubeにもありましたね。

すかいらーくのユニフォーム (YouTube)

「La Ohana」「chawan」……って、ここに来る途中で見た La Ohana ってすかいらーくグループだったの!?

そう、横浜アリーナから環状2号線をすぐ東に行くと ハワイアンレストラン La Ohana があって、

へぇ~珍しい店だなと思いながら、スルーしていたのだが、まさかのすかいらーくグループだったらしい。

すかいらーく がもはや すかいらーく という名前のレストランを経営していないのは有名な話である。

当初はこの名前でレストランをやっていたのだが、大半はガストへの移行で消滅したという。

とはいえ、全てが全てそうではなく、また店舗のブランド変更も機動的である。

現在、すかいらーくグループは3101店のレストランを経営するところ、

ガストは1330店と最大勢力ではあるが、4割ほどに過ぎない。

次いで多いのが中華料理のバーミヤンで344店、じゃぶしゃぶ の しゃぶ葉 で 274店、ジョナサンの214店と続く。

まさか3番目に多いのがしゃぶしゃぶレストランとは思わなかった。

ただ、バーミヤンでも「火鍋しゃぶしゃぶ食べ放題」というメニューがあったり、こういうのはウケるのかもなぁ。

ガストとジョナサンはどちらも洋食主体だが、元々別会社であり、未だに差異があるということだろう。

もうこの辺からすかいらーくグループの全貌がわからなくなってくるが、

次いで多いのが和食レストランの夢庵で174店、ちなみにここも しゃぶしゃぶ やってる店があるらしい。

ステーキガストが122店舗、思ったより少ないな。グリルとサラダバーをセットにしたメニューを専門的にやっている。

唐揚げ専門店の から好し が89店、最近は ガスト で から好し を扱う店が増えたので数字以上に身近かも。

かつて存在した Sガスト の多くは から好し になったそうで、この点からファストフード店と見てよいのではないか。

むさしの森珈琲 が89店、これは同社が最近強化している喫茶店タイプの店だそう。

ファミリーレストランも喫茶店的に使われることは多いが、そこに特化して店内のデザインもなされているよう。

ちなみにこの店名の由来は本社所在地が武蔵野市だからという理由らしい。まさかの地元アピールである。

ここら辺からはだんだんレアになってくる。

  • 藍屋(和食) : 43店
  • グラッチェガーデンズ(イタリア料理) : 30店
  • 魚屋路(回転寿司) : 22店
  • chawan(和カフェ?) : 20店
  • La Ohana(ハワイアンレストラン) : 14店
  • とんから亭(とんかつ、から好しの唐揚げも併売しているらしい) : 11店
  • ゆめあん食堂(和食) : 2店

もっとも少ない理由もいろいろである。

閉店を進めた結果少ないとみられるのが藍屋とグラッチェガーデンズといったところ。

La Ohanaは増加傾向にあり、今後はそこまで珍しくない店になるかもしれない。

実際、むさしの森珈琲 は2019年末は37店舗だったのが、100店舗目前まで来ている。

似たようなものを複数ブランドで経営していたりするので複雑ですけどね。

ガスト と バーミヤン の2つはすかいらーくグループにとって歴史も長くよく知られているが、

歴史は長くとも店舗数を減らし続けた ジョナサン のようなブランドがある一方で、

しゃぶ葉 のように急拡大を続けているものもあり、しかもそれを意識したかのように他ブランドでもしゃぶしゃぶを扱う店の多いこと。

まぁ店の中に入るとすかいらーくグループであることを思わせる物はけっこうあるので、

ああ、と思うんですが、店の外からは案外わからないものだなと思った。