Scribble at 2022-09-22 17:59:28 Last modified: 2022-09-22 18:02:12

添付画像

au/KDDI のサイトへ au ID でログインしてから、「料金」というショートカットをクリックすると、「料金について次からお選びください」という lightbox が出てくる。選択肢として「料金プラン一覧」「料金シミュレーション」「料金プラン変更」そして「請求金額」と四つ出てくるので、「請求金額」をクリックすると、上記のようなエラー・ページが出てくる。これ、実際に調べると、まずこの lightbox で表示されている「請求金額」の URL が kddi-l.jp というドメインを使った短縮 URL らしきものになっていて、これはセッションが有効なあいだだけ使えるように、わざと時間制限のある短縮 URL として暫定的に設定されたものなのだろう。そして、実際に短縮 URL から遷移した際のエラー・ページは、ドメインが app.adjust.com となっていて、正直なところ信頼すべきドメインなのかどうか、エンド・ユーザがいちいち判断しようにも判断できない。なぜなら、この app.adjust.com というドメインでアクセスしているサイトは SSL サーバ証明書が存在しておらず、それは当たり前で、画面の下に小さく出ている "ERR_NAME_NOT_RESOLVED" を見ればわかるように、こんな FQDN は解決できない(存在しない)というのがエラーの内容だからだ。これは、ふつうに考えたら au/KDDI のサイトがクラックされていて、おかしなページにリンクが設定されてしまっていると疑うべき証拠になるが、僕の環境ではトラッキングのサービスは 0.0.0.0 に飛ばす hosts ファイルを使っているので、必ずしもフィッシングというわけではないのだが、疑わしいサービスを経由していることに違いはない。なんてキャリアのサイトで、セッションを持ったまま知らない連中のサーバを通過しなくてはいけないのか。

ということで、My au の機能として請求料金を確認するときは、皮肉なことかもしれないが、僕は Android 用のアプリケーションでしか確認していない(もちろん、そこで請求内容を表示するときも、似たような経路でクズどものサイトを経由しているのだろう)。関西の au/KDDI は、10年以上も前に料金シミュレーションのサイトを制作する案件に携わったことがあるけれど、正直なところインフラの会社でありながら上層の管理やセキュリティや技術については、かなり怪しい点が多い会社だ。そして、みなさんもご存じのとおり、昨今では本業であるインフラでも大規模な事故を起こしている。社内研修や採用活動についても、それなりのコストを使わないと、いったんバカが管理職や採用する側についたら、悪循環は簡単に止められない。そして、上場企業だろうと老舗だろうと、緩やかに倒産へ突き進むしかなくなる。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook