突然のメルカリからの利用停止通知
メルカリ利用者の人で、ある日突然複数アカウント利用による規約違反で利用停止の通知が来て途方に暮れている人が結構いるようです。
複数アカウントで検索した結果 - メルカリボックス 疑問・質問みんなで解決!
メルカリ利用規約を読んでみると確かに複数アカウント利用の禁止が述べられています。
第4条 ユーザー登録及びアカウント情報の「2.複数登録の禁止」
ユーザーおよびユーザー登録をされようとする方(以下併せて「ユーザー等」といいます)は、
複数のユーザー登録を行うことができないものとします。
また、併せて第8条 禁止事項で参照されている禁止事項にも明記されています。
複数アカウント利用を禁止する理由としては
- 業者による転売行為の防止
- ロボットプログラムによるスクレイピング行為蔓延の防止
- さくら行為による特定アカウントの評価偽装の防止
辺りが理由ではないかと推測できます。
何を持って複数アカウント利用が検知されるかの考察
しかし複数アカウントで利用停止を食らった人の中にも
「端末を変えて利用」、「別なネットワーク環境から利用」にもかかわらず、
複数アカウントと認識されてしまったケースもあります。
メルカリでは一体どのようにして異なる環境からのアクセスを同一ユーザと判断しているのでしょうか?
Webページを利用者が閲覧する際にはHTTPプロトコルという通信規約が使われており、
この環境下でWebサーバ側では次のような限られた利用者の情報を取得することができます。
- IPアドレス/ドメイン
- OS/ブラウザ情報
- 画面サイズ
- 言語
- 通信ポート
- 参照元
1. IPアドレス/ドメイン
コンピュータのインターネット上の場所を特定するための住所または電話番号のようなものです。
例えば私の現在のIPアドレスとドメインは下記のとおりです。
IPアドレスとドメインは一対一で、IPアドレスが数字だけで人間に覚えづらいとして用意された変わりの識別子がドメインです。
IPアドレス:223.134.18.139
ドメイン:pdf86128b.tubecm00.ap.so-net.ne.jp
このIPアドレス/ドメインが分かると何処の国・都道府県・市区町村辺りまでだいたい特定できてしまいます。
一般的な家庭用のインターネット回線を利用しているとこのIPアドレスとドメインは変わりますが、一部のみであり、国・都道府県・市区町村を表す部分は変わらないことが多いです。
2. OS/ブラウザ
ユーザーエージェントといい、ブラウザがサーバに自分の利用環境を通知します。
例えば下記のようなものです。
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
この情報から、利用中のOSとバージョン、ブラウザの種類とバージョンが分かります。
ただし、偽装可能です。
3.画面サイズ
1920×1080(24bit) のように利用中の端末の画面のサイズと解像度を通知します。
4.言語
ja,en-US;q=0.9,en;q=0.8,id;q=0.7,zh-CN;q=0.6,zh;q=0.5,zh-TW;q=0.4
のように、ブラウザに設定されている言語とその優先順位を通知します。
5.通信ポート
52290のようにクライアント端末が利用している通信ポートを通知します。
※コンピュータ上の内線番号見たいなものと思ってください。
6.参照元
どのサイトからアクセスされたかを通知します。
おそらく1〜5の情報に「ページを移動する間隔」や「検索・よく見るページの傾向」などを加え、
異なるアカウント間の相関値を算出し、その値が一定値を超えた時点で同一アカウントと判断しているのではないかと推測できます。
どうすれば利用停止にならずに複数アカウントを利用できるか?
理屈はいいとして「どうやれば複数アカウントと検知されずに複数アカウントが利用できるの?」と思われるでしょう。
これはサービスの不正利用ではなく、あくまで技術上の好奇心からの推測ですが、
同一アカウントと判断しうる要因としてIPアドレス/ドメインの情報が大きいと思います。
同じ人が物理的に離れた場所で同時刻にアクセスできるのは不可能であると考えるのが妥当であるためです。
そうなるとこのIPアドレス/ドメインの壁をいかに乗り越えるかですが、離れた場所のネットワークを介してアクセスすれば可能です。
VPNなどの方法もありますが結構お金がかかります。
一番手っ取り早い方法はリモートデスクトップを使って遠隔地のPCにログインし、利用するという方法です。
「職場のPCでアカウントA、離れた場所にある自宅のPCでアカウントB」を同時に利用する形になります。
ただし、これで確実に同一アカウントのジャッジを回避できる保証はありません。
今後AIの進歩でおそらく利用者の行動パターンから同一アカウントと検知する仕組みが実現可能になるはずです。
あと、あまり過激なことをやるとユーザ登録の取り消しになるみたいなのでご注意ください。
「知合からこんなメール(原文参照)が来たけどどうすればいいの?」という相談を最近何件か受けました。
要約すると
- トロイの木馬ウィルスをお前のOSに感染させて半年前にメールボックスをハックした
- 信じられないなら送り先メールアドレスを見ろ。お前のメールアドレスから送っている!
- メールの内容を世界にぶちまけられたくなければ50時間以内にBTCを振り込め
という内容で、日本でも一昔前に流行った振り込め詐欺と同じです。
それが仮想通貨が普及して海外送金が容易になったので、全世界をターゲットに詐欺るぜ!って流れかと。
※因みに送信元のメールアドレスは簡単に偽装できます。
しかし事日本においてはハードルが高いと思います。
- 先ず英語が読めないといけない
- トロイの木馬など専門用語がわからないといけない
- BTCの送金方法を知らないといけない
と、少なくとも3つは超えなければならない壁があり、「振込んじゃいそうな人」がその壁を乗り越えられるのか大きなクエッションマークです。
後は、BTC送金の際の名義が指定されていないので、誰が振込んだかわからないから、誰のメールの内容をぶち撒けなくていいのか分からないんじゃないか?と言う矛盾点も見えてきたりします。
という訳で、こんなメールが来ても無視しましょう。
メールアドレスを収集するプログラムが集めたメールアドレスに一斉に配信しているんでしょう。
無視するけどうざい場合は
あたりをやっておくと良いでしょう。
原文
Hello!
My nickname in darknet is alvis38.
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.
If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox.
Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.
I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.
I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!
During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!
I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $552 is quite a fair price to destroy the dirt I created.
Send the above amount on my BTC wallet (bitcoin): 19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.
Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!
Since reading this letter you have 50 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.
I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!
下記を読み込むファイルの先頭行に書く。
<php
// 全てのドメインからのアクセスを許可する
header("Access-Control-Allow-Origin: *");
?>
特定のドメインからのみアクセスを許可する場合は下記のように書く。
<php
// http://commonld.comからのアクセスのみ許可する
header("Access-Control-Allow-Origin: *");
?>
CORS (Cross-Origin Resource Sharing)
オリジン間リソース共有Cross-Origin Resource Sharing (CORS) と言うもので、追加の HTTP ヘッダーを使用して、あるドメイン(オリジン)で動作しているウェブアプリケーションに、異なるドメイン(オリジン)にあるリソースへのアクセスを許可することができる仕組み。