Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

組織票はスマートさが肝要

つぶやいてみた。

どうやらルールには違反してない様ですが、自分の利益にこだわり、全体への影響が見えなかったのは四日市市としては愚策だったとしか思えません。

www.sankei.com

 全国のご当地キャラクターなどが競う人気投票「ゆるキャラグランプリ 2018」で、三重県四日市市がマスコットキャラクター「こにゅうどうくん」を優勝させようと、組織票を投じていたことが9日分かった。フリーメールを使って投票に必要なIDを大量に取得し、あたかも大勢の人が投票しているようにみせかけていた

 中間集計でこにゅうどうくんは、約119万票を獲得し暫定1位となっている。市観光交流課は「市を挙げて盛り上げていこうと取り組んだ結果。不正との認識はない」としている。

 市の職員は臨時職員なども含め約3700人だが、同課で約2万のフリーメールのアドレスを取得し、各アドレスを使って投票に必要なID登録をしていた。登録すると1日1回投票できる。同課は各部署にIDを割り振って、市のイメージアップは「職員それぞれが担い手」として、勤務時間中に業務用パソコンを使って投票することを認めていた

産経新聞記事より引用)

 

◆キタきつねの所感

どうやら市長が率先して職員を動員したようですね。フリーアドレスを職員に割り振り、市職員の勤務時間中に投票を促すのは、税金をそこに投入しているようなものです。ゆるキャラグランプリのルールを逸脱している訳ではないとしても、「こにゅうどうくん」がグランプリを取ったとしても疑惑のキャラとしかならない気がします。

mainichi.jp

フリーアドレスからの投票を許し、1アドレス1日1回投入が可能とかいうルールも如何なものかと思うのですが、何より四日市市長がアレだったのは、「グランプリを獲る」事だけを目的としてしまった事なのではないでしょうか?

本来はグランプリを獲り、そのキャラが一般化し(良いイメージを与え)、宣伝の面で地域活性化に役立つ。あわよくば第2の「くまもん」に育って欲しい。。。市町村が考えるゆるキャラへの戦略というのはそんな所だと思います。

ルールを逸脱してなければ何をやっても良い。その通りです。

しかし、グランプリを獲った(あるいは上位の)ゆるキャラが、不正投票の結果であると皆に知れ渡ったとしたら、そのキャラははたして宣伝効果があると言えるのでしょうか?

 

不正投票だったかどうかについては、本来、投票側と主催者側にしか分かりません。今回の件、おそらく市の職員がリークしたのだと思います。

市長がそこまで想定していたのかは分かりませんが、マスコミの取材に対して、「職員にお願いしたが、強制はしてない」と言い訳しています。

www.youtube.com

 毎日新聞が入手した四日市市の内部資料によると、担当の観光交流課が万単位のメールアドレスを各部局に割り振り、多い部局では3000超に達した。本来はアドレスごとに割り振られたIDで1日1回投票できるルールだが、同市では部局ごとに連日大量の投票をしている。

 市関係者によると、8月末から管理職を集めた会議が開かれ、投票指示が本格化した。初会合で森智広市長は「私は8月に1日30票投票した。9月から10票積み増す」と発言。担当課長も「IDを1万個は持っている。どしどし渡したい」と述べた。各部局は投票に追われており、管理職の一人は「投票で勤務時間を割かれている。税金で働いている身なのに、明らかにエスカレートし過ぎだ」と悲鳴を上げる。

毎日新聞記事より引用)

 

漏洩した時のリスクを考えれば、「市職員に強制した」今回の四日市市長のやり方は、下策であったのではないでしょうか。今後どこかのゆるキャラのコンテストで上位に入賞したとしても、世間では、あるいは対抗馬の他自治体からは四日市市は・・・」と陰口を叩かれる。そんな未来しか見えてきません。

 

大量組織投票をやるのであれば「バレないようにやる」。それにつきるのですが、リスク管理が甘かったとしか思えません。

 

一方で「ゆるキャラグランプリ」の主催側にも問題があるのではないでしょうか。不正投票ができる仕組みにしておくから、こうした不正投票の可能性が残ってしまうのです。例えばフリーアドレスGoogleやYahoo等)はNGにしてしまえば、今回の手法にはかなり有効だと思いますし、そもそも1日1票、、というのではなく、1アドレス期間中に1票でも良いのではないでしょうか?

sp.yurugp.jp

何百万票を集めた1位のゆるきゃら!とイベントを盛り上げたい色気が、今回のような「攻撃」を受けたと言っても過言ではありません。

 

その点、現地重視のB-1グランプリは購入したB-1グルメ商品の”ハシ”をベースに投票がされてグランプリが決まります。それはそれで複数のB-1グルメを食べた購入者が不正に1箇所に投票する余地を残してはいますが、お金がかかる事もありますし、なにより現地に人が行かないといけない事もあるので、大規模不正が(やや)しずらい環境があります。

b-1grandprix.com

 

人気のあるコンテストイベントとなれば、当然システムの穴を突く「攻撃」は増えます。そこを見据えた防御策を考える、イベント運営側は考えるべきだと思います。

 

 

闇の組織のイラスト

 

更新履歴

  • 2018年11月10日AM(予約投稿)