「ガジェット」カテゴリーアーカイブ

2013-01
08
19:17:08
キャリアが販売する国際機の国内外価格差が酷い件


最近に始まったことでは無いのだけど、メーカーが国際的に展開している携帯機種が日本国内でもキャリアが採用して販売を開始するというケースがスマホの浸透以降顕著になってきた。
一番最初に注目されたのはXperia X10だっただろうか。
但し2年ほど前まではSONYやサムソン、LG、HTCといった主要プレイヤーの場合は国際機をほぼそのままのスペックで提供していたケースが多かったけれど、昨年頃からおサイフケータイやワンセグなどのいわゆる「ガラケー機能」を日本市場向けに搭載した国際機も目立つようになってきた。時にはHTC Jのようにまず国内向けが発表され、後にガラケー機能を省いた機種を国際展開するケースもある。
これはメーカーが日本市場にコミットメントを強めたと見るべきか、あるいは国内メーカーが軒並み少なくなり品揃えに問題が出て海外メーカーに泣きついているのか、どちらだろうか。

つまり海外と国内でガラケー機能有る無し程度の差の同じような機種が販売展開されている訳だが、こうした機種での国内外価格差がとても酷い。以下はそれを比較してみた表だ。

国際機種 販売元 機種型番 販売価格
Xperia V 1shopmobile $519 ¥45,672
ドコモ Xperia AX(SO-01E) ¥68,670
au Xperia VL(SOL21) ¥75,600
HTC J 1shopmobile $519 ¥45,672
au ISW13HT ¥52,920
Galaxy SIII 1shopmobile GT-I9300 $585 ¥51,480
ドコモ GALAXY S III α (SC-03E) ¥81,270
GALAXY Note II 1shopmobile N7105 $715 ¥62,920
ドコモ GALAXY Note II (SC-02E) ¥80,430 *RAM 32G/Xi
Optimus Vu 1shopmobile P895 $439 ¥38,632
ドコモ Optimus Vu (L-06D) ¥84,630 *Xi対応

* 2013/1/8時点での調査価格。キャリア機は公式オンラインショップでの価格。$1=¥88で計算

ざっと見ても、国内機種は海外機種の50%程度から最も酷いのは倍以上の価格が付けられている。
これを見て一概に信じられるだろうか?果たして何が理由でここまでの差となるのだろうか。

まずは「1shopmobileなどの海外携帯通販ショップは安売り店なのでは無いか」との疑問があるだろう。
しかし1shopmobileなら、例えばiPhone5 16G (もちろんSIMフリー機だ) は$759=約67,000円で販売している。au/ソフトバンクではそれぞれ61,680円と51,360円なので逆に高い。
そもそもこうした通販ショップは「現地で買えない海外居住者向け」なので安売りどころか逆にプレミアムを付けて売っていると考える方が合理的だろう。つまり上記での海外価格は現地ならもう少し安く買える可能性がありそうだ、ということだ。

ではこうした価格差の「元凶」は何だろうか。幾つか検討してみる。

1. ガラケー機能など日本向け機能のコストの差

以前僕は「ガラケー機能に拘り続ける日本のキャリアはメーカーの疲弊と調達コストの増加を引き起こす」と書いたことがある。
もちろんFelicaチップなど海外機には無いハードウェアも追加しているしまた表にもコメントしているようにXiやWiMAXなど海外機には載っていない機能を追加している例もある。その分コストが上がっていることは間違いでは無いだろう。
しかしそれでもここまでの価格差が生まれるものだろうか。僕はそうした調達やアセンブリの専門家では無いが、5割増しから倍というのは少し考えにくい。

2. 海外メーカーが足下を見て納入価格をぼっている?

これも少し考えにくい。
もしキャリアが本当に「高くぼられている」と感じるなら他メーカー間で納入価格競争は出来るし、そもそも契約段階で納入ロット数とロットあたり価格はコミットメントされているはずなので、そう単純なことでは無いはずだ。
(海外メーカー全てで裏カルテルでも組んでいない限りは)

3. 他国内メーカーとの価格差調整

これは如何にもあり得そうなシナリオだ。つまり本来の海外メーカー価格に合わせた販売価格では、国内メーカー機は太刀打ちできないのでは無いか。
そのため全体の販売価格をキャリアが調整し、一定の価格ボックス圏で全メーカーを販売している・・・という考え方だ。
しかしもしそうならこれは消費者にとっては大問題だ。
一般に国内携帯販売では自由な価格競争が確立されていないし、単純にいえばキャリアが言えばその価格で販売せざるを得ないからだ。それは半ば価格統制でありまたカルテルにも似た構造が出来上がってしまっていることになる。
ここは想像でしか無い。しかしやはり以前「キャリアは通信費をコストから算出していないはずだ」と書いたとおり、日本のキャリアは販売価格に対しては如何にも殿様商売だと感じている。決して否定しにくい考え方ではあろう。

とは言えこの考えだけでは、1機種ぐらいまた台数限定などで2-3万円程度の「目玉機種」が少しはあってもいいと思うのだが、それが出てこない説明が付かない。

4. 月々サポート/毎月割/月々割などの割引価格調整のため

3がメーカー保護と保身のための「施策」だとすると、こちらはユーザーを惑わす「マーケティング施策」ということができる。
ご承知のように、「建前上は」月々サポートや毎月割は「2年間の契約を前提に端末価格が実質0円になるように(あるいは0円近くになるように)月額料金から割り引いていく」販売手法だ。
すなわち月々サポートや毎月割が高ければ月額料金がそれだけ安くなるかのような錯覚をユーザーに与えることが出来る。実際には(原則的にはだが)端末代が0円に近づくだけで月額料金は何も変わらないのだが、キャリアから見た欠点は割り引ける(ように見せかけられる)上限は端末代金に固定されるということだ。
おわかり頂けるだろうか。つまり端末代金が高くなければこの割引価格も高く設定できないのだ。
4万円程度の端末価格に設定したのでは月に1500円程度しか設定できない。しかし8万円にすれば「月に3000円割り引きます!」と宣伝できるのだ。またユーザーからすると途中解約するとこの割引も当然放棄することになるので残り割引価格が高ければ(つまり端末価格が高ければそれだけ)解約を躊躇させるような効果もあるだろう。1年での解約時に2万円を放棄するのと4万円放棄するのではプレッシャーは大きく異なるはずだ。
そう考えてみると、国内ではスマホは大体6-7万、タブレットは8-9万という価格レンジに機能差などの例外なく含まれている気がする。

 

さて、そろそろこうした内外価格差の正体も見えてきたのでは無いだろうか。
繰り返すがもちろんこれはすべて想像の域を出ない。しかしこうしたふとした疑問からキャリアの思惑を見通す努力を怠るべきでは無いとも思っている。
さて皆さんはどう考えられるだろうか。

ところでこのエントリーは実は前振りのつもりである。
近いうちに本当に書きたかった4についてのエントリーを投稿したいと思っている。

 

2012-12
13
23:00:40
全くもってオススメしない、日本通信の2年縛り実質0円LTEルーター付きパッケージ


今日の夕方になって、「日本通信(b-mobile)が発売している実質0円のLTE付きHappyキャンペーンパッケージがアマゾンおよびヨドバシでも発売を開始した」というニュースを見て、「これはマズい」と思いブログを書いてみる。

日本通信、月額2980円のLTEルーター+SIMのAmazon版/ヨドバシ版を発売

結論から言えば「あなたはこれに手を出すべきでは無い」という忠告だ。
つまり「このパッケージを買ったはいいが速度性能的に全く使い物にならず、クレームを付けてもキャンセルや話し合いをガンと拒否され、解約で端末割賦分3万2千円を『何も利用していないのに』請求されるであろう僕が通りますよー」ということである。
日本通信の酷い速度性能についてよく知っている方はこれを読む必要性は全く無い。
しかし「割と良いのでは無いかな」と一週間前の僕と同じことを考えてしまった人はぜひこの忠告を読んでみて欲しい。

 

この実質0円LTEルーター付きパッケージは「b-mobile月額定額2980円限定Happyパッケージ」という名称で販売されている。
月額2980円/LTE・3G対応/2Gまで利用可能というほぼ一般的なSIMパッケージだが、そこにb-mobile4G WiFi2というLTE対応Wi-Fiルーターを「実質0円」で付けているところが特徴である。
このルーターは定価32000円だが、1ヶ月目 1520円・2ヶ月目〜24ヶ月目 1360円の割賦でのみ販売し、かつ月額料金からこの割賦分と同額を差し引くことで、結果月額2980円で「24ヶ月使い続ければ」実質0円になるという謳い文句である。
この話だけなら特に悪くも無い。どころか、月額2980円でLTEが使えるのならまた2年と言わず常にデータ通信用SIMが欲しいなあと思っていたなら(まさに僕がそうなのだけど)非常に魅力的に映ることだろう。

そう、「2年間使い続けられる」ならば。

逆に言えば、2年も使い続けることがストレスにしかならない代物であったなら、即解約せざるを得ないなら、初期手数料はもちろんのこと、全く使わなかったとしても端末割賦代金一括3万2千円をドブに捨てることになるのである。
まさしくこの「b-mobile月額定額2980円限定Happyパッケージ」はそういう代物であった。

日本通信 データ専用SIMの速度計測結果

結論から示そう。
以下は今週初めに、問題が発覚してからエビデンスとして約一日張り付いて計測した結果である。

2012/12/10 19:00 2012/12/10 22:00 2012/12/11 1:00
Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps)
XTREAM SEED TEST 759 258 169 3583 671 153 307 120 49
SpeedTest HD 258 0 60 490 630 190 301 0 130
BNR Speed Test 381.35 500.71 299.54
2012/12/11 2:30 2012/12/11 8:00 2012/12/11 11:00
Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps)
XTREAM SEED TEST 3993 287 86 2740 1450 106 3128 517 84
SpeedTest HD 267 0 190 423 2520 320 268 0 190
BNR Speed Test 446.32 966.36 500.98
2012/12/11 13:00 2012/12/11 15:00 Avg
Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps) Latency(ms) Download(Kbps) Upload(Kbps)
XTREAM SEED TEST 3508 203 35 1842 383 94 2482.5 486.125 97
SpeedTest HD 489 0 60 342 630 320 354.75 472.5 182.5
BNR Speed Test 192.09 356.5 455.48125

計測場所は都内山手線にも近い某所(つまり僕の自宅なのだけど)、またLTEがまだ来ていないため。3G/HSDPAであったことには注意して欲しい。
テスト内容は、日本通信の4G WiFi2 ルーターにSIMを刺しiPhone5からWi-Fi接続を行い各種アプリ・サービス(XTREAM SPEED TESTSpeed Test HD(サーバーは東京)、BNR Speed Test)にて計測を行った。つまりこのパッケージにおいて日本通信が想定している利用方法そのままである。
実は先月いっぱいまで同じドコモのMVNOであるIIJmioのファミリーシェア1Gプランを利用していた。iPhone環境などが変化したため一旦解約したのだが、エビデンスとしては残していないので曖昧な書き方になるが、日中あるいは深夜でもまず1Mbpsを下回っていたことはなかった。平均的にはほぼ2-3Mbpsだっただろう。(同じく3G/HSDPA環境)
恐らくはドコモの純正SIMを利用されている方でも、山手線などの大きな駅近くでも無い限りは同じような速度を体験されているのでは無いかと思う。僕の友人間でもドコモ(MVNO含む)ではそれぐらいの体感が多いように思う。

しかしそれに対する日本通信での性能の低さは顕著だ。まずこれまで1Mbpsを大きく超えた経験がほとんど無い。
上記エビデンスでも1Mbpsを超えているのは、時間帯的にネットワークが最も空くとされる朝方のみである。しかもそれでも平均すると1.6Mbps程度なのだ。
特に気になった箇所は赤字で示しておいたが、ダウンロード速度が計測できなかった(0の箇所)、レイテンシィが何と数秒以上の箇所が多い。これはつまり内部ネットワークの軋轢がかなりあることの証左であろう。
また、よく月額980円程度で120Kbpsに制限しているデータ通信専用SIMというのもあるが、まさしく混んでいる時間帯にはその程度の速度しか出ていない。
僕自身の感覚的な話になるので詳しくは省くとしても、実際の利用(特に昼や夜間など「最も利用したい時に」)にかなりストレスを感じたことは容易に想像してもらえるのでは無いか。

日本通信の言い分

では日本通信はこうしたクレームについてどのように回答しているか。
何度かメールなどでやり取りしたが、まとめるとこういうことだ。

  •  (エビデンスを示した上で)これを日本通信としては正常であると判断するのか → ベストエフォートと謳っており瑕疵では無い。利用状況により通信品質が変動するとの前提にて全体としては正常かつ妥当な通信である。弊社サービスとしては通常品質でありユーザー様に不利・不公正とは考えていない
  • 最大速度のみ謳い(LTE 75Mbps/3G 14Mbps)こうした性能の実情を事前に示さないのは問題では無いか → 実際の通信速度での表記に関しては常に一定品質でなく利用場所や時間帯等の通信状況に左右されるため、かえって誤解を招くと考えている。そのため現状では通信速度制限を行なっていないものに関しては技術規格上の表示のみとしている
  • 瑕疵では無いのでキャンセルは出来ない。またあくまでも通信サービス契約と端末販売は別のものでありHappyパッケージは弊社指定の通信サービスをご利用いただいた場合の割引特典付き端末という商品という位置付けである。通信サービス自体の解約は解約料の発生も無く、この場合は割引特典は無効になり端末のみご購入いただいている状態と理解して欲しい

国民生活センターや総務省電気通信消費者相談センターは頼りになるか

「ベストエフォート」はやっかいだ。何故ならそこには「明確でデジタルな判断基準」が存在しないからだ。
一般論として「ベストエフォートを謳いつつ極端に性能が低い場合消費者への何らかの救済策があり得るか」、まず総務省に聞いたところ、そもそもガイドライン含めて実はベストエフォートという定義を打ち出したことは無い。あくまでこの文言は業界の慣例であるとのことだった。なので当然のことながら速度性能がどの程度であろうとベストエフォートを謳っている以上介入や指導は出来ないとのことであった。
国民生活センターでも「どこからなら問題か」数値を示せない以上お力にはなれないという回答であった。
つまりこうした問題に直面した場合、あなたを助けてくれる第三者機関や行政は存在しない。

MVNOの2年縛りには要注意

まあ2年に限らないのだけど、何故かここに来て、MVNO各社がWi-Fiルーターなどを絡めつつ2年継続前提のサービスを打ち出してきている。

下り最大37.5Mbpsの高速データ通信をオトクに使う!UIMカードが3枚使えるLTEが月額2930円~ 「BIGLOBE LTE」
*上記は2年以内の解約料9975円
ドコモの回線を利用した月額2880円のLTEサービス「OCN モバイル エントリー d LTE」が12月3日に登場へ
* モバイルルーターも申し込んだ場合2年以内の解約料9975円
ワイヤレスゲート、公衆無線LAN対応のLTE通信サービス
* 1年以内の解約料は38000円

これまでのMVNOのイメージで言うなら、初期手数料は3150円程度かかるにせよ途中解約金は無く、しかし気楽に止められる簡便さがあった。
語弊も込めて言うなら、たとえ性能などが悪くともリスクも低いので「安かろう悪かろう」が受け入れられやすい土壌があったと言える。
しかしここに来てそう単純では無くなりつつあるのかも知れない。

MNO(ドコモやKDDI、ソフトバンクなどの大手一次セーラー)なら上記のような酷い速度になってしまったらその影響範囲は数十万から数百万人に及ぶかも知れず、一度的では無く恒常的になれば総務省も重い腰を上げて指導に乗り出さざるを得ず、また有名な会社故に各社とも問題解決に躍起になってくれることだろう。しかしMVNOはそうではあるまい。言うなれば「玉石混交」だ。どこが良くて悪いのか使ってみるまでは分からず、それでも気軽に解約できるなら問題は無かったが、MNOの真似をし出して2年縛りなどを覚え出すと、こうした被害の影響はMNOに比べて極端に低いのでMVNO各社が無視を決め込めば、更に行政が何の救済もしないとなれば、消費者は言われるがままに無駄金を払って泣き寝入りするしか無い。

とは言え僕は日本通信とIIJmioの現時点での実情しか知らず上記の例がどうかは分からない。しかし「リスクの高い」○年縛りにはぜひ注意して欲しいと思う。

さてどうしようか

話を戻して。
日本通信は話し合いに応じるつもりは無いそうなので、残るは法的手段に訴えるしか僕には選択肢は無いのだが、これについては報告できるようならまたブログにでも書くことにしよう。
最後に、僕が最後のメールで日本通信に宛てて書いた内容を持ってこの稿は締めくくろう。

御社としては「全体としては正常かつ妥当な通信」であり「利用場所や時間帯等の通信状況に左右される」と、全体としての正当性を主張されたいようですが、実際の問題として重要なのは「ユーザー一人一人の体験」であり、そうした個々の事例が救済されないのは大変問題であると考えます。そうした個々の問題として「ベストエフォート」を免罪符にして問題の積極的な解決を図られないのは、企業として近いうちに必ず破滅を招くでしょう

まさに今、日本通信は2010年代の「Yahoo!BB ADSL」と化した。

2012-11
14
21:09:35
Nexus 7でAndroid4.2を少し触ってみた感想をかなりいい加減に書いてみる


しぱらく気にしていなかったうちに今日からOTA配布されていたのを徳丸さんに指摘され、「レポートよろ」とか言われたので久しぶりにブログでも書いてみる。
でも最近Android開発もしてないし、Nexus 7はほぼマンガ読書装置と化していたのであんまり使いこなしていなかったので、そんなに大したことは書けないのですよ(^_^;
新機能もあまり把握していなかったので、こちらの記事を参考にしながらちょっと確認してみます。

マルチユーザー機能

設定にユーザーという項目が増えていて、ここから設定できます。基本的にGoogleアカウントを追加するだけなので作業はあっという間に終わります。
一度設定してしまうとロック画面でアカウントが選べるようになっています。




WindowsやLinuxと同じようにホーム画面からインストールアプリやGoogle Playでの購入(まあ当たり前ですね)まで完全に分離されます。またロック方法も別に設定できるので、例えば重要な個人アカウントとテスト用アカウントなどと区別しても便利でしょうね。
因みに、Nexus 7特有の「2000円分のPlayクレジットプレゼント」も実は新たな追加アカウントにも適用されるようです。但しPlayにも登録してクレカ設定も必要なようなので試していませんが、いいのかな、これ。

パノラマ撮影

興味ないので知らん・・・

ジェスチャタイピング

まあご想像の通り、Androidの標準英語キーボードだけの対応です。日本語に付属のWnnでは対応していません。まあそうでしょうね。
因みに最初は何のことかよく分からなかったんですが、要は指をスクリーンから離さずに入力したいキーを順になぞりつつ対象キーで少し止めたり曲がったりを検知して入力するのをジェスチャと称しているようです。
うーん微妙・・・。

Miracast対応

ちょうど昨日ネットギアから対応機が発表されましたが、実はGoogle的には4.2の目玉はこれなんじゃないかなと思います。Wi-Fi経由でTVなどへ動画を転送する、マルチスクリーン化の一環ですよね。
AppleTVと似たイメージもあるけど、あくまでAndroid端末が主役なのが大きな違いかも知れないですね。別にGoogleの独自規格では無いんですが、将来的にはスマートTVとの連携やAndroid搭載STBなどへの応用も当然視野に入れているのでしょうね。

でも僕は興味ないです・・・。

「Daydream」スクリーンセーバー

興味ないです・・・。

Quick Setting

実は通知領域が二つに増えています。一つは従来の通知領域でバーの左側を下へスワイプすると従来通りに表示されます。
今回追加されたのは、バーの右側をスワイプすると現れる、 Wi-FiやBlueTooth・機内モードその他設定へのショートカットです。




正直例えば僕はInfoWidget2をインストールしているので既に通知領域から設定可能だったので別に必要も無いのです。 が、まあ正統な進化なのでしょう。
ただ、単に設定項目が増えただけで無く、アプリから任意の複数のアクション(多分インテントを呼び出せると言うことかな?)が実行可能になるそうなので、 それはそれで便利かも。
当面Google謹製アプリだけみたいに読めるのですが、任意のアプリからも可能になるとまた面倒なこともあるかも知れませんね。

Google Nowの機能強化

実は・・・うちの環境では「天気しか」カードが表示されないので何も試せないのですが・・・。(Nexus Sでは予定も一応表示されるのだけど)
記事ではスポーツや映画館・緊急情報などが追加されているようですが、そもそも日本でどこまで利用できるのかよく分からないですね。どうなんでしょう。
個人的に実は一番便利に使いそうなのは「荷物の追跡機能」なんですが、どうやらGMailから追跡番号の通知を読み取って表示する仕様のようなので、これまたいろいろ対応度は低くなりそうですね。アマゾンからの配達とか個人輸入のEMS追跡できたら便利なんだけどなあ。。

実は個人的には一番便利に使いたいのは、Google Nowというか、メールやスケジュール・RSSなど含めて様々な情報からサマリーしてくれる、例えば朝そこを見ると情報が鳥瞰できる「個人ポータル」的なアプリなんですが、Google Nowは少し違う方向のようですね。個人アシスタントというイメージとは違う方向性なのかなあとも感じます。
別にGoogleに用意してもらう必要も無いので、誰か作ってくれませんか・・・?

ロック画面にヴィジェットが配置可能に

実は、NOKIAのホームスクリーンやiPhoneでもJBしたらLockInfoを使ってきた僕としては一番楽しみだったのですが・・・。(セキュリティ?何それ)
まずヴィジェットの配置方法が最初はよく分からないと思います。他のヴィジェットのようにアプリ一覧から選ぶのではありません。正解は、ロック画面にデフォルトだと時計が表示されていると思うのですがこれをおもむろに右へフリックすると追加ボタン?が現れます。




そしてこれを押すと追加できるのですが・・・、用意されているヴィジェットが「時計」「カレンダー」「GMail」の三つしか無い!
また解説ビデオによればヴィジェットのサイズは変更できそうなのですが、 少なくとも僕のNexus 7では出来ず、下半分はロック解除用で上半分にどれか一つを置いてスワイプで表示を切り替えるしか出来ませんでした。また、デジタル時計には複数のタイムゾーンの時計も追加できるのですが、ちょっと多いと全部表示できないですね。

 

このあたりも(特に探していないけど)、ホームアプリやロックアプリの方がいいものがあるかも知れません。
または、Nexus 7では無くタブレット機なら(Nexus 7はタブレットのように言われることもありますが、画面解像度からスマートフォン設定になっている、れっきとした「画面が大きい」スマホです)もう少しサイズ変更や複数配置も含めていろいろ使えるのかも知れません。

アクセシビリティの強化

いいことです。

その他

開発者向けオプションがデフォルトでは隠されているようです。
設定画面に表示するには、設定のタブレット情報から「ビルド番号」を7-8回?ほどクリック連打すると「ディベロッパーになった」と言われてメニューに開発者向けオプションが表示されるようになります。
因みにAndroidバージョン連打時のジェリービーンズくん(今名付けた)も健在です。

またパーミッションの種類も増えたようですが、そちらは多分詳しいどなたかが解説して下さることでしょう。

 

 

ぱっと見は全然変わったように思わなかったんですが、細かく見るといろいろありますね。でもどれも少し期待した割には詰めが甘いような物足りないような・・・。まああまり機能追加しすぎてもディベロッパーの開発意欲を削ぐでしょうから難しいとは思うんですけどね。
ただGoogleはこれからAndroidをどうしたいのかまだいまいちよく見えない気もしますし、少なくとも今回はタブレットやSTBなどの組み込み機器へのリーチを当面目指したいのかなとも感じました。まあそれならディベロッパーとの住み分けも割と可能そうですよね。

こんなところですー

 

 

 

2011-11
22
16:42:07
auのPCサイトビューアーで脆弱性が発覚か? – 続:auのEZWebがそろそろ終了しそうな件


この記事はauのEZWebがそろそろ終了しそうな件の続編です。

当該記事では「EZブラウザとPCサイトビューアーのIPアドレス帯域が統一される」ことから場合によってはEZWebの課金システムや一部認証が脆弱性に晒され得るのではないかと危惧したのだが、もしかすると本当に現在それが起きていた(いる)かも知れない。

F001のHTTPヘッダ

F001(PCサイトビューアー)※一部伏せ字
あれ?REMOTE_ADDRが111.87.241.##?
これ、2011年秋冬モデル以降の一部機種のEZブラウザ/PCSVのIPアドレス帯域じゃないですね。
従来のPCサイトビューアーのIPアドレス帯域でもありません。

EZWebとPCサイトビューアーのIPアドレス帯域が具体的にどんなアドレスになるかは上記の通り既に公表されているのだが、どうやら現在PCサイトビューアーからアクセスすると全く別のアドレスになっているようだ。つまり以前からのアナウンスにも関わらずEZWebとPCサイトビューアーのIPアドレス帯域は統一されておらず別のものになっているようだ。これは何を意味するのか。

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです

通常のEZwebブラウザとPCサイトビューアーのIPアドレス帯域が統一された関係で、PCサイトビューア+JavaScriptを使っての値のねつ造ができないかどうかが気になります。

上記の記事を見ると、本来来るはずのない帯域からアクセスが来ているとのことなのですが、この辺りの問題が解決できてなかったからとかではないでしょうね。。。

恐らくk-tai.orgさんの予想か当たっているのではないだろうか。

これは想像だが、当初はもちろんEZWebとPCサイトビューアーのIPアドレス帯域は統一されたのだろう。しかしPCサイトビューアーでEZWebのHTTPヘッダーのケータイID(個体識別番号、サブスクライバーID)を偽装できる問題が発覚してしまったのでは無いだろうか。
そのため少なくとも一時的にでも問題を回避できるように、PCサイトビューアーのIPアドレス帯域をEZWebとは急遽別にしたのではないか。

以前の記事からも繰り返しになるが、ケータイIDを脆弱ながらもぎりぎり安全に保つには一般に三つの条件がある。

(1) そのアクセスがそのキャリアの携帯網(IPアドレス帯域)からのみであることをサービスプロバイダーが保証すること
(2) 携帯網ではケータイIDが偽装されていないことをキャリアが保証すること
(3) 端末の自由度を低くしてケータイIDの偽装などの可能性をできるだけ低く保つこと

このうち2についてはauでは採用されていない可能性がある。そして今回PCサイトビューアーとIPアドレス帯域を統一することで1でサービスプロバイダー側にてEZWebからだけのアクセスでありHTTPヘッダーのケータイIDをそのまま信じていいのかどうかは微妙になった。後は3の条件のみが頼みの綱となった。
すなわち「PCサイトビューアーからケータイIDを偽装して付加できることがあっては絶対にならない」のだ。もしそうなってしまえばケータイECの信頼性は崩壊する。
しかしながら、それが今回偽装できることが発覚してしまったのでは無いだろうか。

以上はあくまで想像に過ぎない。またとりあえずPCサイトビューアーのIPアドレス帯域が緊急的に変更されているのなら差し迫った危機は回避されている。

そこで以下のような公開質問をauのカスタマーサポートへ行ってみた。

「PCSVのIP帯域とセキュリティについて」
表題についてご質問です。
1. 今秋冬モデルからEZWebとPCSVのIP帯域が統一されるとのアナウンスがありますが
http://j.mp/vzi7QB
http://j.mp/tG3hDj
こちらの記事 http://j.mp/uEniDb によれば実際には記載の無いアドレスからPCSVはアクセスされているようです。
これは事実ですか?事実である場合理由は何ですか。
2. どこかでこれらはアナウンスされていらっしゃいますか。
3. http://j.mp/v4AqrD では「PCSVにてHTTP_X_UP_SUBNOの偽造が可能なのでは」との推測がされています。
私も同様の疑いを持ちますが事実関係はいかがでしょうか。
4. 3が事実であった場合、現在まで告知がされていません。それは何故ですか。脆弱性は隠したいとの意図でしょうか
なお本件は公開質問として送付させて頂いております。ご回答に付き適時適切に公開させて頂く場合があります旨ご了承下さい。
以上、お忙しい中大変恐縮ではございますが、ご回答頂けましたら幸いです。どうぞ宜しくお願い致します。

(なお質問がつっけんどうで分かりにくく感じられると思うが、これはauの問い合わせフォームが上限500文字で最低限まで文字数を削る必要があったためだ。せめて1000文字ほどあればもう少し丁寧に書けるのだが…)

結果が帰ってくればまたご報告したいと思う。
以前脆弱性公開ポリシーについてauへ質問した際には、「システムに脆弱性があることについて事実確認されアップデートによって脆弱性が解消できることが判明した場合には必ずWEBサイトで告知を実施した上でアップデート対応を実施する」「セキュリティに関わる問題については悪用される危険性があるため詳細な内容については公表しない。但し該当ユーザーについては個別に周知している」と回答頂いているので、仮に事実であれば問題解消後には必ず公表されるだろうし、また少なくともF001ユーザーやコンテンツプロバイダーには事後報告がされるはずだ。今回の件はその試金石となることだろう。

事実であったとして、F001にはセキュリティアップデートが行われるかも知れない。しかし全ての端末がアップデートをするとも限らない。とすればIP帯域の統一は簡単には戻せないかも知れない。果たしてどのような改修が行われ得るだろうか。
今後その点にも注目しておきたいと思う。

追記(2011/11/23)
Kimuraさんの検証によれば、F001のPCサイトビューアーではJavaScriptでUserAgentおよびX-UP-SUBNOの変更や追加は出来なくなっているとのこと。(以前の機種では出来た)
F001のPCサイトビューアーでsetRequestHeader
こうした仕様はIPアドレス帯域を統一する以上想定内(大前提)の仕様なのだが、にも関わらずIP帯域が分けられていると言うことは、これを回避して変更・追加する方法が存在するということになりますね

追記(2011/11/28)

KDDIから回答が来ましたが、「PCでもPCサイトビューアーでもHTTPヘッダーの書き換えが出来るのは当然のこと」「セキュリティ確保のためEZWebとPCSVのIPアドレス帯域は分離している」のだそうで・・。この自分で整えたちゃぶ台をひっくり返す回答はどうしてくれようか、混乱中です・・・。
因みにEZfactoryのお知らせIPアドレス帯域に変更がされましたね。何やらこれまでアナウンスしていた「EZWebとPCSVのIPアドレス帯域の統一」が無かったことにされているのですが・・??

とりあえずこういう質問にしておいた。

以前よりKDDI様では「2011年秋冬モデルよりEZWebとPCSVのIPアドレス帯域は統一する」とアナウンスされていらっしゃいましたが、
下記ご回答とEZfactoryを拝見する限り、これらが無かったことになっているようですね。
今後ともEZWebとPCSVのIPアドレス帯域は恒常的に分離されたままになる、ということでしょうか。
またずっと以前よりアナウンスされていた内容がここに来て突如変更された理由は何でしょうか。私が指摘させて頂いていたように
「当初統一する予定だったが、本来変更できてはいけないX-UP-SUBNOがF001のPCSVでは変更できてしまった脆弱性(または仕様抜け)
が発覚したため、予定を変更してIPアドレス帯域を分離することにした」との理由しか思いつかないのですが、いかがでしょうか。
仮にこれが事実であれば全ユーザーが影響を受けるセキュリティ問題であった訳ですから、お立場のある通信事業者としては
隠蔽するのでは無く明白に公表されるべきと思いますが、いかがでしょうか。

追記(2011/11/29)

徳丸浩氏から今回の脆弱性の詳細について公表されました。

KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された

端的にはPCSV単独の脆弱性ではなく、PHPなど特定言語との組み合わせの問題ですね。しかし結果として脆弱性として「合成」されてしまう訳で・・・。悩ましいですね。ただ当面は回避されていること、かんたんログイン時のみの問題であることはまだ幸いであるとも言えるでしょう。

追記(2011/12/03)

遅くなりましたが、11/30に上記質問に対してauより返答がありました。
「敢えて」そのまま回答を掲載します。

IPアドレスの帯域は恒常的に分離しておく予定です。
以前よりアナウンスしていた内容を変更した理由は、セキュリティ確保のためです。
セキュリティ確保のために、IPアドレスを分離したことは既に公表しております。
詳細につきましては、セキュリティの観点から回答は差し控えさせていただきます。

とのことです。

この回答への評価についてはまずは皆さんにお任せしますが、後日別途エントリーを上げるかも知れません。

2011-11
10
09:28:59
日本のパケット通信料(単価)が馬鹿高すぎる件


先日、auのiPhoneで店側がデータ定額(ISフラット)を契約時に付け忘れとてつもない額が請求されてきたという話があった。その額なんと395万9160円。

auのiPhoneにしたらパケ代400万円も請求された!

その後交渉によりISフラットと同額の4980円になったようだが、たった一ヶ月にも満たない期間で(しかも恐らくは通常の利用で)400万にも達する料金体系にも驚きだし、そもそもそれだけの利用料金が定額サービスに加入するだけで5000円程度になってしまう仕組みにも驚きだ。

何故このようなことが起こりえるのかと言えば単純に「日本のキャリアでのパケット通信料=パケット単価は恐ろしく高い」からだ。それが問題にならないのは単にパケット定額サービスを別に設けてユーザーにはほぼ例外なく加入させているからだけに過ぎない。
では果たして海外と比べてどれぐらいの内外格差があるのか?というのが本稿の趣旨だ。

Continue reading