昼過ぎにマックに行ったときに「これは危ない」と思ったことがあったから共有

月見バーガーが発売され始めたこともあり、今日の昼飯はマックにしようと決めていた。
このご時世のこともあるから、モバイルオーダーで事前注文してテイクアウトする方式にした。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

注文を済ませ、店に着いてから支払いを確定させ、マック店内で商品を待っていた。
自分の順番が次の次くらいになっていたとき、ある女性客が店にやってきた。
その人はスマホを出していたので、「ああ、この人もモバイルオーダーか。少しずつ浸透しているのかな。」と思っていたが、

— MCD-JUN (@odeodeweapon) Sep 5, 2020

偶然、その人が持っていたスマホの画面を見てしまったときには驚いて声が出そうになった。
モバイルオーダーの受け取り番号が書かれた画面をスクリーンショットで撮った画像を開いていた。

それだけならまだよかったけど、大きな問題が1つ。

表示された注文番号が自分のものと同じだった。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

まさか、そんなはずはないだろと思って自分の番号を何度も確認したけど、全く一緒だった。
その人はモバイルオーダーのアプリから開いて表示したわけじゃないから、「商品を盗ろうとしているのでは？」と思った。

自分の番号が次になったときには、「さっさと受け取らねば」と思って身構えていた。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

そして自分の番号が呼ばれたとき、自分はすぐさま早歩きでカウンターに向かった。例の女性の方も後を追うようにカウンター近くまで来た。同じ番号だから。

自分はモバイルオーダーアプリに表示された番号を店員に見せ、その場で「商品を受け取った」旨のボタンを押し、颯爽と店から出て行った。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

この件について自分からその女性に話しかけることもなく、またその女性から自分に何か言われることもなく店から出ることができた。
いちゃもんつけられるとは思ったが、何事もなく終わってすこしほっとしている。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

さて、文中にあげた女性客は何をしようとしていたか。
考えられるのは2つ

1. モバイルオーダーをする店を間違えた
2. 自分の意思、または誰かの指示で商品を不正受け取りしようとしていた

— MCD-JUN (@odeodeweapon) Sep 5, 2020

スクショを表示させるあたり、1の可能性が少し薄れる。

また、例の人が表示させた画像を見る限り、(おそらく日本人であろう人なのに)設定言語が英語になっていたため、ネットに上がっていた画像を落として使ったと見えるため、2の線が濃厚かなと思った

ただ、これはあくまで推測。真相は不明。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

仮に2(不正受取り)をするとしたら、

マック店内に表示されている受取り待ち一覧の番号を見る
↓
ネットで受取り番号が表示された画像を検索
↓
番号が呼ばれたとき偽の画面を見せて商品を不正に受け取る

って感じなんだろうなと。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

今までの経験上、店員さんは下記のことをすることはほとんどないから、偽の画面でも受取りできちゃうんだろうね。

・受取店舗の確認
・受取り後に「ホームに戻る」ボタンを押させる(※これでアプリでの操作かどうか確認できる)

— MCD-JUN (@odeodeweapon) Sep 5, 2020

正直、モバイルオーダーの使用上、受取り画面の画像をコラージュすればいくらでも商品の不正受取りができてしまうと思った。番号が書かれた画面を見せればいいだけだし。

これだったら、レシート記載の番号を見て順番待ちするの方がまだ不正受取りのリスクが減ると思う(即座に偽造しずらい)

— MCD-JUN (@odeodeweapon) Sep 5, 2020

不正受取りを防ぐなら、注文番号が表示される画面にQRコードを表示させ、商品を受け取るときに店側でQRコードを読んで照合させる、なんてことをしないといけなさそうだなと思った。
機器導入がネックになるけど、不正が多かったら何かしらの対応をしないといけなさそうだなと思う

— MCD-JUN (@odeodeweapon) Sep 5, 2020

結局のところ、今回のケースは偶然なのか意図的に盗ろうとしていたのは謎である。例の人に直接コンタクトをとったわけではないし。
ただ、現状のモバイルオーダーのシステムだと、今まで言ったようなことが起きかねないことを身をもって体験するいい機会になったと捉えている。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

そう思えば、珍しいことを体験できた今日はとてもいい日だなと思えるから、そう捉えることにする。
実際、商品はちゃんと自分で受け取ったわけだし。

とりあえず、モバイルオーダーを使う際にもリスクはあると認識しておいた方がよさそう、ということを共有して、この話題はここで終わりにする。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

あ、注文した月見チーズバーガーはおいしかった。

— MCD-JUN (@odeodeweapon) Sep 5, 2020

仔細はともかく、マクドナルドさんよろしく、ってお話。

それはそうとモバイルオーダー便利よね。
こないだ久々に朝飯マックにして、食後にコーヒー頼もうとして使ったけど、席から動かずに届くのは快適 twitter.com/odeodeweapon/s…

— piston (@piston0331) Sep 6, 2020

ちょうど一昨日モバイルオーダー使ってて「確認ゆるいなー」と思ったら。
その悪知恵を世界平和に使えば良いのに。 twitter.com/odeodeweapon/s…

— 照屋勇樹🐈放送作家 (@teyuyet) Sep 6, 2020

これかなり恐ろしいな twitter.com/odeodeweapon/s…

— haさん (@jikohasan_fx) Sep 6, 2020

マクドナルドのモバイルオーダーたまに使うんですが、こんなことあるんですね…怖っ！ twitter.com/odeodeweapon/s…

— poipoi (@poipoi_007) Sep 6, 2020

「モバイルオーダー　受け取れなかった」でTwitter検索したら受け取れなかった人がたくさん出てきたんだけど、もしかして… twitter.com/odeodeweapon/s…

— たいぷかのん/スーたん (@typekanon) Sep 6, 2020

運用でカバー twitter.com/odeodeweapon/s…

— かめかめは (@huanteina_god) Sep 6, 2020

え、まさに昨日モバイルオーダーで注文したわ…なるほどモバイルオーダーMの後2桁の数字だけだよね。コラージュですぐ画像作れるか… twitter.com/odeodeweapon/s…

— ボーダー (@yokosen_apple) Sep 6, 2020

ツリーを読んでいくとはま寿司のネット注文が評価されている。システム設計（主語が大きすぎる）は奥が深いなぁ。ウーバーイーツを見てみたいと思った、未経験なので。 twitter.com/odeodeweapon/s…

— 1_ah1_a (@1_ah1_a) Sep 6, 2020

番号が偶然同じになる事なんてあるんじゃろうか……？？
地味に気になる……。 twitter.com/odeodeweapon/s…

— さくら⛩ (@skropak) Sep 5, 2020

これはかなり怖い…。
本部には早めの対策考えてもらいたいね💦 twitter.com/odeodeweapon/s…

— なべこ (@hina15airi13) Sep 5, 2020

モバイルオーダーの時、そもそも画面を確認されないこともある(今日されなかった)から、オーダーの確定自体お店に着いてからやろって思った。読むまでは着く少し前にやれば着いた時に出来上がってるな〜って思ってたけど、持ってかれてる可能性あるもんね。当然店は作り直してくれるだろうけどさ。 twitter.com/odeodeweapon/s…

— おこめ (@gohan5180) Sep 5, 2020

モバイルオーダーの番号を見せずに商品受け取れたこともあるし、
なので、私のスマホでオーダーして旦那に取りに行ってもらった(スクショ)こともある。
あと、表示済みの番号が確認できなくて旦那が待ちぼうけとか。(店員がカウンターで「この客全然こないんすけどー」って言ってたらしい。言い方…) twitter.com/odeodeweapon/s…

— ごはん_®️。 (@1234_kk_12345) Sep 6, 2020

なんだろ。結局システムを手軽にハック出来なくしてセキュリティマシマシにすると費用もマシマシになるので、最終的には消費者にそのツケが回ってくるの分からんのかな？人の金で飯を食いたい奴はそれなりの働きをしなきゃ誰も奢ってくれないって分からんのかな？真面目に生きろよ！！（俺もだけどな） twitter.com/odeodeweapon/s…

— 南雲和晴@フラグはへし折る派。 (@LuckyNagumon) Sep 6, 2020

これは絶対しないでおこう… twitter.com/odeodeweapon/s…

— MOMOnotsubo (@MOMOnotsubo) Sep 6, 2020

たしかに。。危ない。気をつけよう。 twitter.com/odeodeweapon/s…

— みとぅぎ (@m2gf) Sep 6, 2020

途中までしか読んでいないけれど、不正受け取り対策を日本マクドナルドはきちんと対策してね
モバイルオーダーだとクーポン使えるけれどUber Eatsはお店のクーポンが使えません
たくさんオーダーして番号を集めていた可能性もあるので、不正できないようにUber Eatsと同一の5桁ナンバリングに改善希望 twitter.com/odeodeweapon/s…

— Mizuho Ono Eat!Play!Sleep! (@mist8702) Sep 6, 2020

どっかのアプリだと背景動いてない場合は無効とかあったな。(店員が厳密にチェックしてるかは怪しいけど)
スクショ詐欺が横行すれば別だろうけど現状だと作り直しで対応した方がコストかからないとかそういう認識なんだろうか twitter.com/odeodeweapon/s…

— こばやし 'にらたま' けんいち (@Niratama) Sep 6, 2020

マックのモバイルオーダーって２桁しか使ってないの？
スクショから捏造し放題じゃん…
twitter.com/odeodeweapon/s… https://t.co/FGYsx18tls

— もくだいさん O366 MVP 🇯🇵 (@mokudai) Sep 6, 2020

うへ、セキュリティがザルだな twitter.com/odeodeweapon/s…

— ゆりあん (@julianmintz) Sep 6, 2020

これは脆弱性ありありの仕組みやな。マックのモバイルオーダー。 twitter.com/odeodeweapon/s…

— 香卯月柚🍊🐇 (@yukouduki) Sep 6, 2020

商品によって同じ番号が振り分けられてる可能性もあるが…着順とかあるしないかあ twitter.com/odeodeweapon/s…

— 浅村壮平 (@kakitwuvat) Sep 6, 2020

モバイルオーダーめっちゃ活用してるし気を付けなきゃ😟😟😟 twitter.com/odeodeweapon/s…

— RkSk@5y♂&2y♂ (@poppyryu) Sep 6, 2020

これ、昨日ほぼ同じことを嫁と話してた。実際遭遇したわけじゃないけど、アプリ画面を確認する店もあるから、過去そういうことがあったんじゃないかと。少なくとも店側はアプリ画面と操作を確認すべきだし、アプリ側も一時バーコードを発行する等の対策は必要だと思う。 twitter.com/odeodeweapon/s…

— GTNK (@GTNK) Sep 6, 2020

モバイルは事前支払いだから
物だけとられたら窃盗だもんな。

こわ。 twitter.com/odeodeweapon/s…

— 💜ひじりりょー💙 (@Hijiri_Masa1229) Sep 6, 2020

まあ確かにこれやろうと思えばできる。しかも決済が事前に住んでいるところが問題。店で決済すればいいんだけど、そうすると偽注文（注文入れて取りに来ない）もあるから難しい。 twitter.com/odeodeweapon/s…

— hg (@x1user) Sep 6, 2020

マクドナルド側は、このモバイルオーダーの掠め取りリスクを知っているとしたら「もう一度作って正しい客に渡す」運用をしているのかも。客は1〜2分待たされるとばっちりを食らうことになるけど……。 twitter.com/odeodeweapon/s…

— はりぽ@INGRESS (@haripo_co) Sep 6, 2020

コレ、自分も受け取りに行って「こういう事出来るんじゃ」…って思った事ある。簡易パスワード発行するなり名前かID入力させるなりしないとね…。 twitter.com/odeodeweapon/s…

— Erinko (@erinkoinko) Sep 6, 2020

私はモバイルオーダー使ったコトないしこれ見たら使う気しないけど、よく使う方は注意が必要ですねぇ。 twitter.com/odeodeweapon/s…

— さく (@sakulament) Sep 6, 2020

下手すると、画面見ないんだよ店員

不正が出始めないと、マクドナルド側は直さないかもね twitter.com/odeodeweapon/s…

— PaTsu (@tadpatu) Sep 6, 2020

もしかしたら、すでに番号入れたらまんまの画面がでるようなアプリ化されてるかもね。で、リスク回避のためにスクショなのかも。 twitter.com/odeodeweapon/s…

— 歪鼻(イビツバナ)@ノベプラ・ストリエ・エブリスタ (@ybiumu) Sep 6, 2020

確かに詐欺的なものが起きても不思議じゃないです。
受け取り画面に動画や時刻表示（秒以下が動き続ける）などして、スクショと区別できる仕様にアプリを変えてほしいですね。 twitter.com/odeodeweapon/s…

— まにまに@ブロガー (@manimani_blog) Sep 6, 2020

番号だけだと偽造できるということか。スシローはQRコードだから大丈夫かな？！ twitter.com/odeodeweapon/s…

— yamaです(^^)/ (@yama_now) Sep 6, 2020

はえー twitter.com/odeodeweapon/s…

— ｽｯﾋﾟ(ÇØØŁ｜🎍𝑺-𝑷𝑷𝒀🎍) (@JinjaSpirits) Sep 6, 2020

この一連のスレッド。スマホ使わない人間なのでモバイルオーダーも使った事は無いのだけれど、ここまでセキュリティーがザルな仕組みだとは。何かの受取り認証があるものとばかり思ってたのだけれど。実際、類似のサービスで簡易的な対策が施されてる店もあるらしいのに。 twitter.com/odeodeweapon/s…

— XEXYZA_7773 (@xexyza7773) Sep 6, 2020

モバイルオーダー横取りされる可能性あるとかコワ…😨 twitter.com/odeodeweapon/s…

— 讃岐むすび ふち壱 ⛩🍙 (@fuchi_ichi) Sep 6, 2020

あーーーー確かに
QRとかパスワードとか必要かもだよね twitter.com/odeodeweapon/s…

— ふらわあ🌸 (@flwr_yukkuri) Sep 6, 2020

3000超え…止まらんねぇ twitter.com/odeodeweapon/s…

— MCD-JUN (@odeodeweapon) Sep 6, 2020

注文IDの設計を、Mac固有の番号＋国番号＋店舗番号＋注文番号、にして暗号化してQRにしたらいいんじゃないだろうか
そしてその暗号化された注文IDとは別に受付番号を払い出して数字で出せば要件は満たすのか？？ twitter.com/odeodeweapon/s…

— TaiL (@Satoshi_TaiL) Sep 6, 2020

クレカ登録しないと使えないようになってからこういうホールが出てきたんだろうな。
クレカ辞めれば問題は無いのにね twitter.com/odeodeweapon/s…

— ビーチク口ニクル (@bakker7) Sep 6, 2020

毎回モバイルオーダー使ってるけど、確かに画面確認していく店員さんあたったことない😶 twitter.com/odeodeweapon/s…

— ᶜᴴᴵᴿᵁᴷᴬ🎩 (@chirudq10) Sep 6, 2020

あー。
昔iQOSで中国人がヤラカシてた奴ねー。(3000円安くなる時にスクショ持って来てた)
マックでもヤラカシてんのかー。 twitter.com/odeodeweapon/s…

— パチパチコミュニティ (@pachi2com) Sep 6, 2020