【B-Side】指紋認証を悪用した悪質広告というニュースについて

本編の記事とはちょっと違ったところを掘り下げてみるB-Sideです。
前回の記事の続きなので、まだ読んでない人はそちらから。

この問題はまだ拡散が止まらないようですが、実際に悪質広告があるのかないのかって証明が難しい。
広告が表示されるかされないかなんて運みたいなもんですから、偶然出会わないと「ある」という証拠は出せないし、「ない」という証拠も出せません。

いろんな可能性を考えてみましたが、前回の記事は「ない」という立場で考えて書いた記事でした。
なぜそう判断したのかをもう少し書いてみます。

 

フェイクだと考える理由1

私はフェイクだと判断して前回の記事を書いていたんですけど、そう判断した一番の理由は決済画面のスクリーンショットにあります。

▼図1 問題となったアプリ課金のスクリーンショット

画像は https://twitter.com/epitan25/status/1002029830366363649 のもの。

このツイートには“この画面でスクリーンショットを撮ったら指紋認証され、無事¥5,500で購入”と書かれています。

しかしこのスクリーンショットを撮った際に指紋認証されてしまったというのなら、なぜ青い承認ボタンが表示されているのでしょうか。これはTouchIDがオフであることを示しています。
通常であればボタンではなく、下の画像のように『TouchIDで承認』という指紋アイコンが出ているはずです。

▼図2 TouchIDがオンになっている場合の承認の課金画面

またポリシーの部分と、価格の部分は承認前と後では表示が変わります。

▼図3 承認前後での文言の違いを比較

上は問題のスクリーンショット、下は私が撮ったものです。
上には『現在の登録が2018年6月2日に終了した後に』という一文があることから、すでに登録済みなことがわかります。

もし、スクリーンショットを撮った際に指紋認証で意図せずに承認してしまったというのであれば、私が撮影した図2のようになっているはずです。
なぜ違う画像を証拠として出してきたのでしょうか。

検証の際に撮った他パターンのスクリーンショットもついでなんで載せておきます。

▼図4 TouchIDがオンになっている場合の承認の課金画面

▼図5 TouchIDがオフになっている場合の承認の課金画面

どれが問題のツイートと同じ状態なのかと問われたら図5ですよね。

▼図1と図5を並べて比較

 

フェイクだと考える理由2

図1はInstagramの広告ではないと考えましたが、同じ動画をInstagramストーリーズ内で広告として流せば、アプリ内で撮影できるスクリーンショットと同じような画像になるのではないかということも検討しました。

でもこれInstagramの画面とは違いすぎるんです。
Instagramのストーリーズというのはいろんなアカウントのさまざまな動画が連続して再生されるので、画面上部にはアカウント名とアイコン、動画の長さを示すインジケーターが常に表示されています。

並べてみましょう。

▼図6 左が問題のスクリーンショット、右が実際のストーリーズ

左の画像には上部にあるはずのパーツが見当たりません。

ストーリーズ内アプリ広告は↓こんな感じです。

これはアプリのインストールを目的として設定された広告で、広告を開く(ストーリーズの広告はタップでは開かず、上にスワイプする)と、その設定に応じてアプリ内ブラウザとかアプリ内AppStoreが立ち上がりますが、どちらにしても必ず上部に閉じるボタンなどが付きます。

やはり問題の画像は前回述べた通り、Instagramの広告スクリーンショットではないと考えるのが妥当でしょう。

 

追加の情報

@epitan25さんが新たな情報を公開していましたので、それも読んでみましょう。

前回の記事では“広告をタップするとAppstoreに直でつながり、決済画面が出てくる”という表現でしたから、アプリ内でAppStoreが呼び出される(先ほどのYouTube動画で示したもの)のだと解釈していましたが、AppStoreの画面が出てくるわけではなく、広告をタップすると直接課金画面が出てくるのだと補足されています。

またアプリはアプリ内課金承認後にインストールされたとも。

これが実際に起こるのであれば、とんでもないAppStore決済システムの穴だと思いますけど、大前提となる証拠のスクリーンショットがInstagramの広告画面ではないという時点で、この発言をどこまで事実と考えられるか。
その矛盾が解消されない限りは発言を鵜呑みにはできません。

 

おわりに

いろいろと考えてはみたものの、証拠と証言の間に食い違いがありすぎるので、なんとも先に進めない感じです。

画像は明らかに矛盾がある。
じゃぁ「画像は手違いで別のものでしたが、発言はすべて事実です」となったらどうだろうか。

事実だとすればこの穴はでかすぎる。想像以上に影響のでかい穴です。
継続課金がWebから1タップで踏ませられるとなれば、いくらでも悪用できてしまう。

一人のユーザーがInstagramで10回も広告を見たというのであれば、かなりの数の広告を投入しているはずですが、その割には世界的な騒ぎになっていません。
穴に対して被害が少なすぎる。
語られているのが真実だとしてもなにか大事なことを見落としてるはず。

前回も書いたけど、この件に関して無闇に怖がる必要はありません。
サブスクリプションに登録したら必ずメールが届くし、そこに解除用のリンクも付いてる。
間違って登録しても解除の仕方を知っていれば何の被害もありません。

いまのiOSではサブスクリプションの契約がとても簡単にできてしまうけど、解約はわかりにくいのが非常によろしくない。
iOS12ではもっとわかりやすい場所から確認と解約ができるようにすべきです。それと以前から書いているけど、サブスクリプション契約をしているアプリをiPhoneから削除したら、その契約の解除もセットで提案するというのがユーザーにとって安心できるシステムでしょう。

iPhoneが安心して使える道具であってほしいと願います。

3 COMMENTS

azul

以前はブラウザ経由のAppかTunes Store へのURLが本物そっくりな偽造Storeへの誘導があったみたいだし、セキュリティソフトの少ない(でも必要性を感じない?) iOSだと、iPhone利用者は気にするところがあるんでしょうか。
まぁ上記の情報も神アプあたりで少々怪しさがありますが 笑。

アプリへ課金ではなく入金されるというONEというアプリでは利用者数が多すぎて利用ストップになり、登録者から「入金されない、個人情報搾取アプリだ!」と星1つけられてたり。
アプリへの利用形態が増えれば、それだけ利用者を迷わす支払い方法や使い方も増えてくるんでしょうかね。

あ、わかりにくい文章ですみません・・・。

返信する
azul

毎回なるほど、と思う情報ありがとうございます。
ついでに…
Star Walk 2、Solar Walk 2 のアプリ内課金のプレミアムが¥360だから、ただ今セール中なのかな?
あと、Big Fish や G5 系の隠しもの探しゲームのFIVE-BN UK LTDというデベロッパのアプリ内課金ゲームが一部セールしてました。対応がiPhoneのみだからかな?
¥840 が ¥480とかそれ以下に。 映像がなめらかで綺麗です。

返信する

azul へ返信するコメントをキャンセル