2017年4月10日

株式会社Doctor Web Pacific

モバイルユーザーを様々な有料サービスに手軽に登録させることのできるテクノロジーであるWAP-click（ワップクリック）は数年前から使用されています。一部のネットワークプロバイダーがこのテクノロジーを用いることにより、ユーザーは解約の困難な望まないサービスに誤って加入してしまい、金銭を失う危険性にさらされています。この記事では、WAP-clickによる予期せぬ損害から自分自身を守るための方法についてご説明します。

WAP-clickを使用して有料コンテンツにアクセスさせるサービスが多くのネットワークプロバイダーによって提供されています。これらのプロバイダーはWebサイトの所有者がモバイルトラフィックから収益を得ることを可能にする複数のパートナープログラムを積極的に使用しています。例えば、MegaFonは2012年に新たなWAP-clickテクノロジーを発表し、それについて「MegaFon加入者が、パートナー企業の運営するWebサイト上で音声・動画・画像ファイルを簡単に購入し、また、ダウンロードすることなくサービスを利用することを可能にする」サービスであると謳っています。

このテクノロジーは、要求されたコンテンツへアクセスするために料金を支払うよう指示するメッセージを含んだWebページに、モバイルユーザーをリダイレクトするというシンプルなものです。このWebページにはボタンが表示されており、ユーザーがクリックすると有料サービスに登録されるようになっています。

appleinsider.ruからのスクリーンショット

このサービスはユーザーの間で、また、インターネットメディアのページ上で、またたく間に議論の的となりました。中でも特に、WAP-clickは VC.RU、 Apple Insider、その他多くのサイトで取り上げられています。1名のユーザーに至っては、有料サービスへの登録をSMS経由で確定するようネットワークプロバイダーに対して要求する申し立ての署名を集めています。

この登録はプロバイダーのネットワークに含まれる全てのユーザーに対して利用可能となっています。USBモデムの所有者も許可していない登録による被害を受け、この問題に対する解決策を独自に模索しています。解決策の一部は http://vsyako.blogspot.ru/2014/06/podpiski.html や https://антиподписки.рф などのサイトに記載されています。Windowsユーザーの場合、有料サービスへの登録に対する対抗策の1つとして、hostsファイルに適切な変更を加えることが提案されています。この推奨策は元々、登録を処理するサイトであるwap.megafonpro.ruへのアクセスを制限するためのものでした。この方法はしばらくの間有効でしたが、MegaFonは同じ機能を持った複数の異なるドメインを所有しているということが後に明らかになりました：

WAP-clickテクノロジーの実際の例を見てみましょう。Doctor Webでは、MegaFonのモバイルインターネットを使用した実験を行いました。まず、ユーザーは夏の栽培期に菜園に玉ねぎを植えようと考えたと仮定します。この場合、最も良い方法はGoogle検索で見つけた園芸家の指示に従うというものになるでしょう。「how and when to plant onions（玉ねぎを植える方法と時期）」と検索欄に入力すると、ユーザーのニーズに合わせたリンクが表示されました。

リンク先のWebサイトのHTMLコードには特殊なスクリプトが埋め込まれていて、このスクリプトによってユーザーのネットワークプロバイダーが特定されます。今回の実験では、以下のすべての動作がMegaFon加入者に対してのみ実行されています。

該当するWebリソースを開こうとすると、リダイレクトの連鎖が自動で実行されます。リダイレクトは少なくとも5～7回行われ、最終的にMegaFonの所有する（WHOISによって提供されたデータによる）オンライン登録サイトにたどり着きます。

サービス登録ページには、Webサイトにアクセスするためにユーザーは1日30ルーブルを支払う必要があるという警告が明確に記載されています。Webサイトを見るための料金は「個人的な使用を目的とした記事やニュース」の提供に対するものであるとされています。しかしながら、解像度の高い画面（USBモデムの接続されたタブレットやコンピューター）などの一部のケースでは、この重要な警告はより目立たなくなり、ユーザーは小さな文字に気が付かない可能性があります。

提示された条件にユーザーが同意した場合であっても、その後、玉ねぎに関する情報を見ることはできません。登録ボタンをクリックすると、ユーザーはまた別のリダイレクションの連鎖によってLLC Informpartnyor（http://informpartner.com）の所有するWebリソースinfonews24.ruへと飛ばされます。次に、ユーザーは有料サービスに登録された旨を通知するSMSを受け取りますが、SMSに対応していないUSBモデムの所有者はこの通知を受け取ることができず、ネットワークプロバイダーからの請求書を見て初めて有料サービスに登録されていることに気が付きます。

登録ボタンがクリックされた瞬間から、例えユーザーが有料サイトを訪問していない場合やインターネットを使用していない場合であっても、また、モバイルデバイスの電源を入れていない場合ですら、ユーザーの口座からは1日30ルーブルが引き落とされます。

有料サービスの解約は簡単ではありません。Doctor Webのスペシャリストは、登録されている有料サービスがあるかどうかを特定するために数日間にわたってモバイルデバイスからUSSDリクエストを送信し続けました。しかしながら、SMSによるMegaFonからの返答は、当該登録番号で利用中の有料サービスは存在しないというものでした。

モバイルデバイスからログインするか、またはデスクトップからログインするかに関係なく、MegaFonユーザーの「Dashboard（ダッシュボード）」内でも全く同じ結果が確認され、Webサイト http://podpiski.megafon.ru でも同様でした。Webリソースへの有料アクセスについては何も記載がありませんでした。今回の実験では、登録に関する情報は数日後に「Dashboard（ダッシュボード）」内に表示されるようになり、それまでの間、毎日料金が引き落とされていました。

MegaFonでは、有料サービスの料金引き落とし専用の特別なコンテンツ用アカウントをユーザーに対して提供しています。このアカウントによって、ユーザーのメインアカウントから料金が引き落とされることを防ぎます。この無料サービスを利用するには、テクニカルサポートサービスまで連絡するか、プロバイダーのオフィスまで出向く必要があります。

WAP-clickによる登録を防ぐためのまた別の方法として、MegaFonはサービス番号に対して特別なリクエスト「УСТЗАПРЕТ1（USTZAPRET1）」を送信するという方法を提供しています。ただし、この方法で登録を防ぐことができるのは90日間だけであるという点に注意する必要があります。その後、MegaFonユーザーは再び有料サービスに誤って加入してしまう危険にさらされます。

モバイルアカウントから定期的に料金が引き落とされていることに気が付いた場合は、有料サービスに登録されていないかどうか確認するようにしてください。また、モバイルネットワークのメインアカウント残高を守るため、コンテンツ用アカウントに接続することが推奨されます。Doctor Webでは、モバイルインターネットを使用する際は慎重を期し、誤って有料サービスに登録してしまったことが明らかになった場合はご自身で、またはネットワークプロバイダーのサポートサービスに連絡することで、できるだけ早く解約するよう推奨しています。