  |
はてなキーワード:スキミングとは
これすごく乱暴にいうとSBIと楽天が制度設計ミスを利用してptsでHTFなどからの注文を東証から取り上げてpts側で約定させることで利益を得ているってことですか?
https://www.jsri.or.jp/publication/topics/topics/2511_01/
非常に核心を突いた、鋭い要約です。
「制度設計ミス」という言葉が何を指すかによりますが、現状の**「東証とPTSのルールの歪み(特に呼値の単位)」**を突いているという点では、まさにおっしゃる通りの構造です。
専門的な文脈では、この構造を**「クリーム・スキミング(いいとこ取り)」や「フリーライド(ただ乗り)」**と呼んで批判されることがあります。
具体的に何が起きているのか、なぜそれが「利益」になるのかを、いただいた要約に沿って少しだけ補足します。
東証は公的なインフラとしての責任があるため、システムの変更やルールの改定に慎重で時間がかかります。
一方、PTS(私設取引システム)は民間企業なので、柔軟にルールを決められます。
これが「歪み(または隙)」となります。
HFT業者は、東証の板を見て、その「内側」にPTSで注文を出します。
*東証で「100円」で売りが出ている。
* これなら、東証で買うより安く買いたい人が来るし、HFTは東証の価格(100円)を基準に先回りして利益を出せます。
証券会社は「SOR(スマート・オーダー・ルーティング)」という仕組みを使い、顧客の注文を自動的に有利な市場へ流します。
*顧客が「買い」注文を出す。
* SORが瞬時に判定。「東証は100円だけど、PTSなら99.9円でHFTが売ってるぞ」。
*東証ではなく、自社グループ(または提携)のPTSで約定させる。
4. 誰がどう得をしているか?
*SBI・楽天:東証に払う手数料を節約でき、自社(または提携)のPTSに手数料が入る。また、PTSのシェアが拡大する。
*HFT:東証の分厚い板に並ばずに、PTSで優先的に取引を成立させられる。
*顧客(投資家):東証より0.1円安く買える(メリットはある)。
> 「株価の基準(価格発見機能)を作っているのは、苦労して大量の注文をさばいているウチ(東証)だ。PTSやHFTは、ウチの価格を参考にしながら、ウチより0.1円だけ有利な価格を出して、美味しい注文(流動性)だけを横取り(クリーム・スキミング)している」
>
まとめ
「東証の硬直的なルール(呼値)の隙を突き、HFTを取り込んで、東証に行くはずだった注文をPTSで処理して収益化している」**という図式は正解です。
これに対抗するため、東証も現在「呼値の適正化(刻み幅を細かくする)」を進めて、PTSの優位性を潰そうとしています。
Sbiとか楽天が手数料のを無料にできてるのもここで儲けてるからだと思ってていい?他に信用取引が増えれば金利収入もあると思うけどどっちの効果の方が大きい?
その読みは非常に鋭いですが、結論から言うと**「信用取引などの金利収入」の方が圧倒的に効果(金額)が大きい**です。
ご質問のポイントを整理すると、手数料無料化を支えているのは以下の2つのどちらが大きいか、ということですね。
* SOR/PTSによる中抜き・コスト削減(東証を通さないことによる利益)
答えは、「2.金利収入」が圧倒的で、そこに「1」がコスト削減策としてアシストしている、という構図です。
ネット証券の決算資料を見ると、手数料無料化の前後で**「金融収支(トレーディング損益ではなく、金利での儲け)」**が収益の柱に入れ替わっています。
投資家が借金して株を買うときの金利(年2.8%〜など)は、証券会社にとって「寝ていても入ってくるチャリンチャリンビジネス」です。
手数料は「売買した瞬間」だけですが、金利は「建玉を持っている間ずっと」発生します。
* 貸株(かしかぶ):
顧客の持っている株を借りて、機関投資家に貸し出すレンタル料です。これも巨大な収益源です。
SBIや楽天が手数料を無料にした真の狙いは、HFTとのサヤ抜きで儲けること以上に、**「客を囲い込んで、信用取引やFX、投資信託をやらせる(金利や信託報酬を払わせる)」**ことにあります。
では、SOR/PTS(ユーザーの言うHFTの件)は何なのか?
おっしゃる通り、ここでも儲けてはいますが、これは**「収益源」というより「コスト削減の切り札」**という意味合いが強いです。
東証で約定させると、証券会社は東証に「取引参加料金」を払わなければなりません。
しかし、自社のPTS(私設市場)やダークプール内で約定させれば、東証に払うコストが0円になります。
つまり、
*PTS/SOR =無料化で増えた注文コストを吸収するための節約術 & 小銭稼ぎ
という役割分担です。
ユーザーさんの「ここで(PTS/SORで)儲けてるから無料にできるんだろ?」という読みは**「コストを抑える」という意味で正解です。
しかし、証券会社がビルを建てられるほど儲かっている最大の理由は、「みんなが信用取引で借金をして、毎日金利を払ってくれているから」**というのが現実です。
https://news.yahoo.co.jp/articles/36b7dc49140f802e2ebeb3320d433573f132e4c6
https://www.sony.co.jp/Products/felica/business/information/2025001.html
情報を整理するとおそらくこう
で、社会的影響はおそらく少ない。
古いカードを持っている人は、悪意のあるスキミングで改ざんができる可能性があるにはある。ただ誰が古いICのカードを持っているかを知ることができないので、相当にスキミングは困難だと思われる。ただし標的型攻撃は別なので注意。
お店などの側もカードの残高をみて決済をしているわけではないので(システム側が残高を管理しているので)カードだけ書き換えても不正利用はほぼ無理(交通系も物販ではオンライン確認している)。
公共交通機関の改札などもオンラインになりつつあるし、改札でも決済時リアルタイムでオンライン確認をしていないだけで、随時データは送っているので、不正検知したらブロックリストに入ってすぐに使えなくなる。不正利用はほぼ無理。
そして、対策としては古いカードの交換キャンペーンが行われるだろう。そのうえで、トリプルDESでの通信を端末側が拒否する設定が配られ、その時点で使えなくなると思われる。まぁ影響は小さいし、あんまり心配しなくて良いかと。
FeliCaには古いトリプルDESを使っていた旧バージョンと、AES暗号をつかった新バージョン(2011年発表)がある。
https://www.nikkei.com/article/DGXNASFK10031_Q1A610C1000000/
で、2011年時点ではトリプルDESが破られるのは時間の問題だとされつつ、まだ無事だったので、社会的影響を考え、両対応のチップと両対応のリーダーをだし、徐々に更新をかけていった。
調べた範囲では、いつまでトリプルDESで通信ができるカードが出荷されていたかを示す情報は見つからない。しかし、おそらく今回のリリースで、最長でも2017年までのチップではトリプルDESが使えるカードが出ていたと考えて良いと思う。(もちろんその期限で綺麗に切り替わっているわけではないので「一部の」という表現になっているのではないか)
また、トリプルDES自体は鍵長でいくとまだ総当たりで破られる心配はないのだが、脆弱性も見つかっているし、色々な研究のターゲットにされて破られる例が多数あり、それらの手法と近頃の強力な計算機を用意する事で力業で破れるレベルまで来ていた。
もう専門家はだれもが破られることを予想していたが、それを実際にやってみて報告した会社が出たよ、と言うことだろうと思われる。
そうして取り出された鍵は、トリプルDESでの通信モードを持っている旧タイプまたは以降中の古いFeliCaチップにのみ影響を与えるので、2017年より前の、と言う表現ではないかと思われる。
また、各社がおサイフケータイ系は影響を受けないと言っているのも、現行サポートされているおサイフケータイはDES通信は既にサポートされていないからではないかと思われる。(とっくの昔にSDKも廃盤)
はっきり言って共同通信の報道の仕方がアホすぎ。【独自】(ドヤァ じゃねえんだわ。なあにが「ソニーは共同通信の指摘を受けて公表した」だヴォケ。スクープ気取りか?アホか。これで何人の人が詐欺にあうんですかね。
ニュースソースに言われるままに記事を書いてるだろアレ。ちゃんと他の専門家に取材してから記事にしろよ。
セキュリティ関連企業は名前を売るために大げさに言うんだよ。普通のプレスリリースもそうだろ?なのになんでセキュリティの話だけ鵜呑みにするんだよ。ちゃんと裏取りと検証取材しろ。
共同通信は新旧のFeliCaで同じ鍵が使われているとしているが、鍵長が異なるDESとAESで同じ鍵が使えるわけが無いので有り得ない。シリンダー錠とディンプル錠が同じ鍵だとか言ってるのと同レベルの与太話。
Permalink |記事への反応(10) | 20:10
スーパーのセミセルフレジでスキミング被害にあったので備忘録代わりに投稿します
・まぁまぁ規模の大きいローカルチェーンのスーパー(100店舗以上展開)
・使用したのは楽天カード(3Dセキュアや第二パスワードは設定済み)
いつものようにクレジットカードを会計機に差し込んでIC認証で支払おうとしたら即座に読み取りエラー
過去にもたまーに読み取りエラーが出たことはあったが差し直せば大丈夫だった
仕方がないので会計機右側面にある磁気ストライプ読み取りスリットに通すと無事精算できたんだが
おそらくだがIC読み取りで決済は出来てるがレシートを出さずエラー画面を表示するようにプログラムも改造されてる
5/27 スキミングされる
5/29-30 米国Amazonで何度も使用されるがこちらも不承認
5/30 深夜に楽天から【重要】楽天カードから緊急のご連絡 というタイトルのメールが届く
5/31 メールに記載の楽天カード信用管理部に電話して「これこれの買い物したか?」の確認
対応は事務的だが丁寧で親切だった。確認後カード再発行手続きの案内。
再発行はチャットサポートから質疑応答形式で数回クリックするだけで完了
券面に資格情報が印字されていないので、マイナカードを持っていても見せても健康保険に加入しているかわからない。
持っている本人もわからないし、第三者も見ただけではわからない。病院の読み取り機にかざしてはじめてわかる。
はてな村の住人くらいのデジタルネイティブからは、券面に記載が無くてもスマホアプリで読み取れるとか反論があると思うが、一般人に通用する理屈ではない。
例えばSUICAでは、定期券情報をわざわざ券面に印字している。これも、チャージ額と同じように読み取り機で確認する仕様にすることも可能だっただろうし、その方が低コストだったはずだが、それでも定期券情報の印字にこだわったのは、一般に普及させるためには「見てすぐわかる」ことが必要だったのだろう。
マイナ保険証もICカード形態で普及させるのなら、券面に印字スペースを作って健康保険証情報を印字すべきだったと思う。
これは、モバイルSUICAがそうであるように、アプリになれば解決するかもしれない。
「健康保険証の確認ごとき」で暗証番号の入力が必要になるのは、ユーザーにとって利便性が悪い。
現状で暗証番号が広く受け入れられているのは、キャッシュカードとクレジットカードの一部だが、これはユーザーの金を引き出す/使うという「重要な取引きのトレードオフ」だから。
パスポートにもICチップが埋め込まれているが情報を読み取るのに暗証番号は必要ない。免許証は本籍地を見るための暗証番号を設定するが、使われていない。
とはいえ、認証なしに情報を読み取れるようになるとスキミングの問題もあるので難しいのだけど、安易に暗証番号を入力させると、病院などで盗み見られる問題が起こる可能性があって、こちらの方がユーザーにとっては重大だろう。
この問題のキモは銀行とは違って病院では暗証番号の入力を隠すことへの意識が低いところにある。
他人に教えてはいけない秘密の番号(マイナンバー)が印字されてしまっているという問題。
マイナカードがマイナンバーと個人を紐づけるためのカードだとしても、マイナンバーそのものを印字する必要があったのか。
例えば、クレジットカードでは再発行によってカード番号が変わることがあるが、それでもカード会社は個人を特定することができている。同じようにマイナンバー本体はサーバ内で管理して、券面には一時的な番号を記載する、あるいは電子データ内のみに持つようにするので良かったのではないか。
奇妙なことがあったので聞いてほしい
さっき普段使いにしているメアド「名前.名字(←俺の実名をピリオドで区切ったもの)@gmail.com」に
Apple Store「ご注文の確認 Wxxxxxxxxxx(←注文番号)」
たしかにこの「名前.名字@gmail.com」でApple Storeに
その1時間ぐらいあとに
Apple Store「ご注文ありがとうございます Wxxxxxxxxxx(←注文番号)」
というメールを受信
ちょっとイヤな感じがしたので内容をチェックしてみると
見た感じオフィシャルのものだし発信者アドレスも(偽装の可能性はあるにせよ)
noreply_apac@orders.apple.com
となっておりこちらも本物っぽい
<宛先>
名前名字@gmail.com(←俺のメアドから「.」を抜いたもの)
xx県xx市xx区x-x-x(←知らない住所)
•••••••••xx(←知らない電話番号の下2桁)
<支払い方法>
クレジットカード1回払い
となっていた
アップルの公式サポート(0120-993-993)に問い合わせて
お決まりの本人確認などを経て事の次第を報告して注文番号を告げたところ
それは俺のアカウント「名前.名字@gmail.com」に紐付いた発注では無いとのこと
(Apple Storeにログインして注文情報を確認してみたが確かにそんな発注は無かった)
実害は(今のところ)無いが気持ち悪いし
今後なにかトラブルが発生した際には連絡するということにしておいた
ざくっとまとめると
誰かが
・俺の名前
・名前名字@gmail.com(←俺のメアドから「.」を抜いたもの)
でApple Storeにアカウントを作ってiPhoneをクレカで購入したということになる
でもこれは不可能なはずで
なぜならgmailのアカウントではピリオドはあってもなくても同じ扱いで
https://support.google.com/mail/answer/7436150?hl=ja
俺が「名前.名字@gmail.com」というアカウント持っている以上
誰かが「名前名字@gmail.com」というアカウントは作れないからだ
※「名前名字@gmail.com」宛のメールが「名前.名字@gmail.com」に届いたのも同じ理由
ではその誰かが「名前名字@gmail.com」という架空のアドレスで
Apple StoreでIDを作るのも
登録時にメアドの正当性確認のメールが「名前名字@gmail.com」に
飛ぶことを考えると不可能なはずだ
いや、自分は一貫してると思うぞ?
イーロン・マスクは、今回、Twitterのなりすましについてだけは警告なしに永久追放にするって言ってる。一方で、キュレーションチームは大幅解雇。要するに、なりすましさえ絶対できないようにしておけば、キュレーションなど行わず誰が何言っても構わない状況にしておいても、少数派の極端な意見は反論で叩かれて消えていくだろうって発想なわけだ。
クレカで他人になりすまして支払う=クレカ番号窃盗(スキミング)であることに注意すると、これ、イーロン・マスクがクレカでやったことと同じなんじゃないか?
クレカ番号については、カード会社が人海戦術で取引履歴をチェックして、悪意のなりすまし利用を防ぐ仕組みだった。これを、PayPalはカード番号のやり取りをしなくていいようにして、仕組みとしてクレカのなりすまし利用を防いだのがイーロン・マスク。
Twitterも同じで、キュレーションチームの人海戦術じゃ絶対にうまく行かないと思ってるのでは。で、仕組みとして、なりすましをできなくさせる制度にしておけば良いと思っていて、そのためのなりすまし厳罰化なんだと思う。要するに、不正利用みたいなものは人海戦術や人力ではだめで、制度や仕組みとして不正利用を防ぐ仕組みを導入しなきゃだめって話かと。
ふむふむ
■はよ(使い回し)保険証とかクレカの番号入力とかロストバゲージ放置とかガバガバシステムなくなればいいのに
・保険証
顔写真がない →医療機関が本人確認ができない →通算どれだけ無保険者や留学生に不正に使い回されたことか、2024年?おそすぎたわ。
電磁的スキミングに無力なのは仕方ないとして、「目視」でも拾われでもくっそ簡単に不正利用されるガバガバガバガバシステム、通算どれだけ(ry
https://megalodon.jp/2022-1010-0928-52/https://anond.hatelabo.jp:443/20221010092503
ありがと勉強になった
チェリーピッキングは、大規模な母集団から収益性の高い顧客のみを選ぶビジネス戦略を指すこともある[6]。たとえば、健康保険会社は健康な人に保険を売り、不健康な人や不健康になりそうな人に保険を売ることを拒否するチェリーピッキングを行うことで、収益性の高い顧客を選択できる。
もし自動車保険会社がチェリーピッキングにより優良運転者のみ保険を売ることになれば、すべての運転手に保険を売っている会社よりも収益上優位に立てる。自動車保険会社がチェリー・ピッキングを行い優良運転者のみに保険を売り、劣等運転者が無保険になるという事態が起こらないよう、アメリカ合衆国の多くの州ではリスク割り当てを行い、自動車保険会社がある程度の数の劣等運転者にも保険を提供するよう求めている。
