Gmail登録時、QRコードをスキャンしてSMSを送信する方式に変更

Hacker Newsの意見

• Gmailへの不満は多いが、Googleが置かれている状況もある程度は理解できる
  事実上、インターネットインフラの大きな一部を無料で維持する役割に縛られており、ユーザーがあまりにも多いため、終了すれば世界中が大騒ぎになるだろう
  維持費も高く、複雑で、時間もかかり、スパムや詐欺の送信元であり受信先でもある。データを事実上永遠に保管しなければならない負担も大きい
  それでも、無料メールという発想自体が根本的によくないと思う。無料メールサービスが良質だったり手厚く支援されたりすることは期待しにくく、いまだに残っているのも善意よりは反動への恐れによる可能性が高い。単に有料メールサービスを使うほうがよく、気も楽だ

  • 「無料で背負い込んだ」という表現は正しくない。Googleが自ら無料で提供し、当時としては無料ストレージ容量がとんでもなく大きかった
    当時はISPのメールボックスで25MBや50MBもあればかなり良いほうだったのに、Googleは人を引きつけるために1〜2GBを提供していた
    悪用を防ぐ措置を取る権利はあるし、無料提供の義務もないが、Googleが無料メールを無理やり背負わされたわけでもなく、競合よりはるかに大きな特典を提供したのも自分たちの選択だ
  • 「無料」が何を意味するのかわからない。Googleはユーザーから得るデータをすべて持っており、今では携帯電話を使っていないときでも追跡できる
    インターネットがどう動くかも支配している。HTTPSを強制することもできるし、トラッカーやetagも思いのままだ
    ユーザーに関するあらゆる情報を高値で売ることができ、規約上はいつでも切り売りしてもユーザーは抗議しにくい。表向きは無料に見えるかもしれないが、多くの人がさまざまな形でGoogleにプレミアムを支払っている
    以前のGoogleは革新と優れたアイデアでより良い世界を作るとして尊敬されていたが、今も世界を変えてはいても、その方向は万人のためではない
  • まったく事実ではない。Googleは製品やサービスを平然と頻繁に終了させる
    Gmailがユーザーから直接・間接に吸い上げて売るデータより高くつくなら、Gmailも存在していなかったはずだ
  • Gmailは今も昔も無料だったことはない。誰もが費用を払っている
    企業が顧客に連絡するには、大量送信のための許可リストに料金を払わなければならず、その費用はGmailを使ったことのない顧客にも転嫁される
    そうしたリストに金を払わない会社がGmail利用者の顧客を多く抱えている場合、慎重に送信レート制限をかける必要があり、そのためメールが当日中に届かないこともある
    メールマーケティングやキャンペーン業者もこのリストに金を払い、そのコストをさらに顧客へ回す。何百万人にも大量メールを無料で受け取らせてくれるメール提供者など、もともと存在しなかった
  • Googleエコシステムは昨年1,300億ドルを超える利益を出しているのだから、まったく気の毒ではない

• Gmail担当者がいるなら、GmailがなぜGoogle自身のサービスを悪用したGmailフィッシングメールを許しているのか説明してほしい。たとえば https://storage.googleapis.com/savelinge/ のようなものだ
  詳しくはこちら: https://news.ycombinator.com/item?id=46665414

  • 最近のスパムは本当にひどくなっている。正規サイトを使ってフィルターを回避する形で、まともな請求書作成サイト経由で請求書を送る手口もある
    また、注文した品の配送追跡サービスを装い、数日にわたって荷物が紛失したかのように見せかけ、「購入金額」分の割引コードを提供すると言ってフィッシングサイトで使わせようとする
    Gmailはこうしたメールをスパムとして分類できないどころか、重要メールとして分類し、最優先の通知や要約まで表示する
  • Googleは自社サービスが絡んでいれば何でも構わないように見える。*.bc.googleusercontent.com は何年も事実上のスパム農場として使われていたので完全に遮断した
    それでもGoogleは、Compute Engineユーザーにほんの少しでも不便をかけることすら嫌なのか、まったく気にしていないようだ
  • スパムフィルタリングが難しいのと同じ理由だ。サービス悪用をすべて捕まえようとすると誤検知が多すぎて不可能になる
  • 答えにはならないが、少なくとも、@gmail.com アドレスから来る露骨で愚かな「Costco」スパムが、いくらスパム表示しても受信トレイに入り続ける理由を説明する仮説にはなる
  • Googleは買収したAppSheetがフィッシャーに利用され、かなりもっともらしく標的型のメールを送ることを防げていないようだ。そうしたメールが通常の受信トレイにまで届いている
    要請が無視されるなら、この種の採用詐欺メールを、なりすまし被害を受けたブランドの法務・詐欺・フィッシング対応チームへ転送するしかない。関心がなさそうな会社なら、法律事務所名義の書簡が優先度を上げるのに役立つかもしれない

• 「スマートフォンでQRコードを使うと、携帯電話からGoogleへSMSが送信されて電話番号を確認する」という話について、QRコードをスキャンするだけでSMSが送られると思い込んでいるフォーラムのコメント以外に、もっと良い情報源はないのだろうか
  確認したところ、ただのSMS URIだった。自動で何かを送ることはなく、ユーザーが送るテキストメッセージを開くだけだ
  要するに、以前からある電話番号認証にQRコードという利便性を足しただけだ

  • 携帯電話がそれに対応していない場合どうなるのかわからない。私は折りたたみ携帯を使っているが、カメラはあってもQRコードのスキャンはできない
  • 以前の方式は、GoogleがユーザーにSMSを送るものだった。いまはSMS受信がフォンファームに30セント払えば簡単にできるので、Googleは送信方式に変えているのだろう。フォンファームもすぐ適応するだろうが
  • https://datatracker.ietf.org/doc/html/rfc5724#section-2
  • おそらく携帯でメッセージアプリを開き、番号と本文をあらかじめ埋めておくだけで十分なのだろう。ユーザーは送信を押すだけでいい
  • 電話番号認証というのは普通、GoogleがユーザーにSMSを送る方式ではないのか。逆方向なのは違和感がある

• Googleの最近の動きは、反トラスト法廷が必要としていた決定的証拠のように見える。「これをやれ、さもないと…」という感じだ
  reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab, Google Play のすべてが、Googleの広告マシンと切り離され、独立して持続可能な事業であるべきだ
  Gmailは他のメールプロバイダーとユーザー獲得競争をすべきで、reCAPTCHAもインフラ費用をreCAPTCHAの収益だけで全額負担すべきだ。そうすれば競争条件が平準化され、批判も和らぎ、息がしやすくなる

  • Googleは、AIが検索帝国と広告帝国に対する巨大な脅威だと主張していた。だが裁判官がGoogleの独占濫用に対して驚くほど弱い措置を下してから数週間後、Appleと提携し、スマートフォンのデフォルトAIエージェントのほぼ100%がGoogle基盤になるようにしてしまった
  • Googleがメールでそんなに独占的なら、オンラインで他の無料または有料メールサービスを使えばいいだけではないか

• 最近、小規模事業者のGoogle Workspaceアカウント設定を手伝ったが、登録過程で壁にぶつかった
  登録段階からGoogleがここまで厄介なら、後で顧客業務がぶら下がった状態でアカウントがロックされたらどうするのかとオーナーたちに話した。Googleアカウント凍結の恐怖事例をいくつか見せたところ、最終的に別の業務用コラボレーションソリューションを選んだ

  • Business StandardからBusiness Plusにアップグレードしようとすると、Googleはアップグレード中の最大24時間、Workspaceストレージをユーザーあたり2TBから0バイトに減らす
    サポートの実際の回答は「確認したところ、Business StandardからBusiness Plusにアップグレードされており、ストレージが0バイトと表示されています。ご心配なく、これは極めて正常です」だった
    また、「サブスクリプションがアップグレードされる際、バックエンドシステムがまず既存のBusiness Standardストレージ割り当てを切り離し、その後に新しいBusiness Plusの上限をプロビジョニングする必要があり、この移行期間中は割り当て量が一時的に0にデフォルト設定されます」とも言っていた
    最後に、ユーザーストレージ制限または共有ドライブストレージ制限を有効にして5分後に無効化してほしいと言われたが、ストレージ割り当て量をより早くリセットしようとするその試みは失敗し、結局数時間かかった
  • それで管理しているすべてのドメインをGmailから移す計画を始めた。Gmailは製品として実際によくなっておらず、欲しくも必要もないものをアップセルしようとして、ますます煩わしくなっている
    毎年少しずつ悪くなっている。Gmailは規模が大きすぎるため、有料で使っていてもサポートを受けられる可能性はほとんどなく、そのリスクは受け入れるには大きすぎる
  • 「登録過程で壁にぶつかった」とはどういう意味なのか気になる。この記事のQRコードをスキャンしてSMSを送る問題なのか、それとも別の問題なのか
  • 2013年からかなり満足して使ってきた
    ただ、この1年ほどで従業員が使いたがらないAI関連ポップアップが煩わしいという不満を聞くようになった
  • 代わりに何を使っているのか気になる。隣の芝生が青く見えるだけかもしれない
    それでもMicrosoftのほうが製品は悪くてもサポートはまし、というのは驚くことではない

• さっき登録フローを自分で試したが、QRコードは不要だった。何年も同じだった手順のままだった
  個人/子ども/ビジネスを選び、名前を入力し、メールを選び、生年月日、再設定用メールまたはスキップ、パスワード、電話番号を入力し、2段階認証コードを確認して完了、という流れだった
  testregistrationflow@gmail.com というアカウントを作り、パスワードはもう忘れたので1つ燃やしたようなものだ。testregistrationflow1@gmail.com でQRコードなしでできるか試してみてもいい
  見出しは、多数のGmailアカウントをプログラム的に作ろうとする人に適用される特定のフローを誤って一般化したものなのは明らかだ

  • Googleがそのユーザーをどれだけ信頼できると見なしているかによって、この要件が発動する可能性が高い。Linuxの使用、Firefoxの使用、VPNの使用といった要素が影響するかもしれない
  • 2段階認証に使った電話番号が「使われすぎ」状態になると、登録の途中でブロックされることがある
    文書化された上限はなさそうで、人々が見つけた唯一の解決策は、別の人の電話番号で認証を手伝ってもらうことだけだ
    さらに厄介なのは、既存アカウントからログアウトされたときだ。ログインしようとすると2段階認証用の電話番号を求められ、元の登録認証に使った同じ番号を入れても、その番号は使われすぎているという理由で失敗する
    すると、すでに存在する正常なアカウントにもログインできなくなる。もちろん別の2段階認証方式やパスキーを追加しておくべきだったのだろうが、なぜ最初に使った番号で再認証できないのかは理解しがたい
    しかも、他のGoogleサービス登録時のアカウント確認用2段階認証にはGoogle Voice番号も使えない
  • Gmail開始当初の招待制方式に戻るほうがよいのかもしれない
    各アカウントが新しいアカウントを招待できる数を小さく有限に制限すれば、詐欺師を防ぐ一つの方法になりうる
  • 携帯でGoogleサービス経由でアカウントを作るなら、電話番号すら不要だ
  • 今日、GoogleのQRセキュリティ確認と従来型のセキュリティ確認の両方に遭遇した。段階的に展開中なのだろう

• 「QRコードをスキャンしなければならない」という表現は、列車のドアを開けるにはQRコードをスキャンしなければならないと言いながら、実際の要件が料金請求のために携帯電話を支払い情報と結びつけることだという点を省くのと同じだ
  Googleがここで確認しているのは、データマトリクスをバイト列に変換する能力ではない

• こういうものは「セキュリティ」変更のように見えるが、同時にプライバシーを守るワークフローを大量に排除するのにも非常に都合がよさそうだ

  • 実際その通りだと思う。完全な監視は、人々が追跡用の首輪を強制的に着けさせられて初めて機能する
    次の段階は、ウォレットへのアクセスに電話番号が必要な中央銀行デジタル通貨と結びつけ、移動制限のために実名の身分証やパスポートと連動させることかもしれない
    2段階認証はプライバシーを粉々に砕く楔になってしまった
  • Googleの要件を回避するために一時的なアカウント有効化用電話番号を提供するオンラインサービスはあるが、その大半はメッセージ受信しかできない
    ユーザーにSMSを送らせることを要求するのは、そうしたサービスを排除してボットが使えなくなるようにする優れた方法に見える
    もっとも、Googleアカウントでプライバシー保全フローが何を意味するのかはよくわからない。Googleは電話番号を知らなくてもユーザーを追跡できるのだから