2025 LAST
LAST
2025年12月
watch と wash
ここに来て「大あらし」が起こりそうです。
ということで今朝は自ホスト用に「仕掛け」を追加してみました。
防御はできませんが、記録だけは残せるかも知れないので ...
"watch"という行為は常に必要です。
悪いことを企む連中は"wash"が常套手段なので、初老の一市井人として対抗できることには何かしら着手しておきたいと思っています。
悪意が満ちていく ...
インターネットのなかは ..
本当に危うい情勢です。
スマホ新法
スマホ新法なるものが昨日から施行しました。
18日のうちに読み込めなかったので備忘として貼っておきます。
pdf-sandbox : law_20251218.pdf
スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律
===
概要
- 施行日:2025年12月18日。
- 目的:スマートフォン向けプラットフォーム事業者(主にApple、Google)によるアプリ配信およびアプリ内課金(IAP)運用の独占的慣行を是正し、競争と消費者の選択肢を拡大すること。
主な変更点
- 外部決済(アプリ外の決済手段)利用の許可:開発者はアプリ内課金に限定されず、外部決済リンクや独自決済フローをユーザーに案内・提供可能。
- 複数のアプリ配信チャネルの容認:サードパーティのアプリストアや配信チャネルを利用しやすくする規制緩和。
- 手数料・収益分配の透明化義務:プラットフォーマーに対し課金手数料や計算方法の明示を求める。
- サービス差別の禁止:自社サービスとサードパーティサービスの扱いにおける差別的取り扱いを制限。
- ユーザー通知・同意要件:外部決済へ誘導する際の表示・説明、個人情報の取扱いに関する必要な同意取得の義務化。
事業者(デベロッパー)への影響
- 決済選択肢の拡大により手数料削減や価格差設定が可能になる一方、支払いフローやカスタマーサポート、返金処理などを自社で整備する必要がある。
- ユーザー体験維持のため、アプリ内と外部決済間での遷移や認証UXを最適化する投資が必要。
- 不正対策・セキュリティ対策(決済認証、チャージバック管理、不正検知)の強化が必須。
プラットフォーム事業者(Apple/Google等)への影響
- 既存の独占的IAP制度の制限:必須IAP利用の強制や一律手数料徴収の運用が制約される。
- 透明性義務・監査対応・報告義務の強化。
- 外部決済導線を許可することによるプラットフォームの安全性維持策(マルウェア・詐欺防止)の導入負担。
セキュリティ・コンプライアンス上の留意点
- 外部決済導入時のデータ保護・個人情報取扱い、PCI DSS 等の準拠要件確認。
- ユーザー認証(2段階認証や3Dセキュア等)の実装と、不正検知ルールの整備。
- 各国ごとの消費者保護法や税制対応(消費税・VAT 等)を踏まえた請求・表示対応。
実務上の対応(短期優先事項)
1. 決済戦略の見直し:外部決済の採用可否・価格戦略を決定。
2. 技術実装準備:外部決済への遷移フロー、SDK/API連携、セキュリティ対策。
3. 法務・規約修正:利用規約、プライバシーポリシー、返金ポリシーの更新。
4. オペレーション整備:請求・返金・サポート体制、会計処理。
5. ユーザー通知計画:外部決済導入時の表示・同意取得フローの設計。
利点とリスク
- 利点:手数料削減、価格競争力向上、消費者選択の拡大。
- リスク:セキュリティ・不正リスク増、運用コスト・複雑性の上昇、プラットフォーム側の報復的制約の可能性。
<技術要件>について深掘り
高優先度(必須対応)
- **外部決済連携の安全な遷移**
- アプリ内から外部決済ページへ遷移する際は、改ざん防止と認証を確保(署名付きトークン、短期有効URL)。
- 遷移元のアプリ識別情報を安全に引き渡す(暗号化されたメタデータ)。
- **決済データ保護(PCI DSS 準拠)**
- カード情報を扱う場合は PCI DSS 準拠のトークン化または決済事業者のホスト型ソリューションを利用。
- ネイティブアプリ側でカード番号や有効期限を直接保存・処理しない。
- **強力な認証(SCA/2FA 等)**
- 高リスク取引は多要素認証(MFA)を要求。3Dセキュアやワンタイムパスワード、FIDO2 などの採用を検討。
- **通信の保護**
- TLS 1.2 以上(推奨 TLS 1.3)を常時使用。証明書ピンニングの検討。
- **不正検知・モニタリング**
- リアルタイム不正検知ルール、レート制限、異常トランザクションアラートを実装。
- チャージバック・不正行為のログ保全と自動分析。
中優先度(推奨対応)
- **UX の一貫性と戻り遷移の堅牢化**
- 外部決済完了後の正確な戻り処理(成功/失敗/キャンセル)と冪等性確保(同一トランザクションの二重処理防止)。
- 決済状態同期用のサーバ間 webhook または poll 機構の実装。
- **署名付き API とアクセス制御**
- サーバ間通信は署名付きリクエストと短期アクセストークンで保護。最小権限の API キー管理。
- **ログと監査証跡**
- 決済イベント、ユーザー同意、外部リンク表示履歴を保存。保存期間は法令・社内ポリシーに準拠。
- **プラットフォーム別ガイドライン適合**
- Apple/Google のストア規約や技術制約(アプリ内ブラウザの挙動等)を踏まえた実装分岐。
低優先度(改善項目)
- **決済UIコンポーネントの再利用可能実装**
- 決済プロバイダ SDK の抽象化レイヤを作り切替容易化。
- **オフライン・中断対応**
- ネットワーク切断時のトランザクション再開・保留設計。
- **多通貨・税計算ロジック**
- 地域別の税率、請求通貨、為替処理の自動化。
技術仕様サンプル(実装例)
- 遷移用短期トークン:JWT(exp 5分、aud=payment-provider, sub=user_id, nonce)
- Webhook 検証:HMAC-SHA256 署名付きペイロード、タイムスタンプ許容差 5 分
- Idempotency Key:UUID v4、サーバ側で30日保持
- TLS 設定:TLS1.3 推奨、サーバ証明書は自動更新(ACME)
テスト・デプロイ要件
- E2E テスト:決済成功・失敗・キャンセル・中断の各シナリオ
- セキュリティテスト:ペネトレーション、依存ライブラリ脆弱性スキャン、PCI 準拠レビュー
- モニタリング:決済成功率、遷移失敗率、チャージバック率のダッシュボード
・・・ さてさて ...
===
^C
お道具箱(2025-12-09)
昨夜の地震。
本当に怖いですね。
時間帯にもよるのでしょうが、案外インターネットは安定していたように思われます。
停電、断水、ガス漏れのチェックの後は、通信(電話網、インターネット)のチェックも欠かせませんよね。
Tool List のなかに「インターネット接続チェッカー」というのを置いています。
インターネット側のチェックではCloudflareのサービスを利用しています
まあ、何かの足しにしてください。
このツールは接続不調の原因を特定できるものです
QR Code から
< 接続診断結果 >
===
^C
お道具箱(2025-12-05)
追加しました。
Screen Capture Recorder
主に外部モニターをキャプチャーする際に使用します。
(注)使用上のセキュリティについてはあくまでも自己責任でお願いします!
===
^C
お道具箱(2025-12-01)
我が家のToolsmithのサイトには「お道具(Tool)箱」があります。
たまに改変しているのですが、2026年にむけてより実用性の高いものに取り替えていこうと思っています。
本日は以下の2つを追加しました。
ご自由にお試しください
===
^C
