ホーム > 情報セキュリティ > 日本のインターネットを終了しますか?

日本のインターネットを終了しますか?


自宅の高木さんが携帯やWebの固有IDの問題について日記エントリーの大作を完成された。
私も白浜での議論の場にいた一人であり大変興味深く読ませていただいた。

当日の議論より疑問のまま残っていて結局この日記のエントリーでも明らかにならなかったのは、

1 携帯で固有IDを送信するようになるとパソコンでも同様のことが行われるようになるということの信憑性 
(さすがにそれは現実的に起こり得ないんじゃないとか。また楽観的すぎると怒られそうだけど。)

2 仮に上記の状況が実現したとして「実際どんな被害が出るの?」という疑問
 (問題の大きさを理解する上で。)
 
高木さんは「実際どんな被害が出たの?」という質問があったように書いているけど、このときの質問は「実際どんな被害が出る」(と想定される)?という質問だった。被害が出ないから問題がないということを言っているのではなくて、想定される被害を明らかにすることで問題の大きさや必要な対策が明らかになるからだ。

1の状況が望ましくないことはセキュリティやプライバシーに関わるものなら当然理解できるが、現実問題、利便性やコストと天秤にかけられたときに、この問題を広く様々な立場の人に説明するにあたっては2を明確に伝える必要がある。これらの疑問にきちんと答えられれば、高木さんの言うように「「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できる」だろう。

高木さんは固有IDによる被害の例として「広告被害」と「ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。 」ことを挙げているけが、それが「「日本のインターネットが終了」するということなのだろうか?

(・・・もちろん、これらは発生すべきでない事象であることには間違いないが、インターネットが終わるというからには、もっと大きな問題をはらんでいるんじゃないかという意味。)

P.S.この手の話を冷静に議論できればよいのですが、どうも感情的なものが入りがちなようで、まぁそういう方はぜひお手柔らかにお願いします。いや感情こそが問題の本質なのかもしれませんが。

P.S.2 問題があるようにも見える技術が使われたりもしながらも試行錯誤の上、良いもの、受け入れられるものが残っていくというのがインターネットのスタイルかもしれません。

P.S.3 「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として「(可能な場合)固有IDを通知しないよう設定して使用する」というのがあってもよさそうだが・・・。少なくとも私は日常的に通知しない状態で使用しているが今のところ問題も不便なケースも発生していない。

P.S.4 一般に欧米は素晴らしく日本がいかに駄目かという話をすると受けるのだが、米国での生活を経験したものとしてはことプライバシーに関しては相当疑問点が残る。そういった事例の一つとして(昔の)トラッキングクッキーを使ったdoubleclickの話やChoicePointのような企業の存在を持ち出した。米国ではISPが「ユーザーのインターネット閲覧状態を監視して行動を分析し,検索内容や訪問したWebサイトに関連のあるターゲット広告を提供する。」なんてことを今でもやっている。もちろん海外で様々な問題が先に発生するので、その恩恵を日本がこうむっているということについては同意するが・・・。

P.S.5 英国でも「ISPネットワーク経由で収集したユーザーのサイト閲覧動向データを基に、ユーザーの興味に合った広告を表示するという技術。」を持つ企業が「BT、Virgin Media、Carphone Warehouse Group傘下のTalkTalkとの提携を発表」みたいなことになってる。

■参考情報
日本のインターネットが終了する日(高木浩光@自宅の日記, 7/10)
http://takagi-hiromitsu.jp/diary/20080710.html#p01

カテゴリー: 情報セキュリティ タグ:
  1. 2008 年 7 月 12 日 02:13 | #1

    パソコンのUIDの採用、発信が標準になると、例えば宗教や政党のサイトにアクセスした人のUID名簿を作れることになります。囮として政治思想、宗教に関するページを複数作成し、誰が、どんな分野に興味を持っているかを逐一記録できるようになるのです。
    これはデータベースに自動記録させておいて、あとからキーワードで呼び出しをかけることもできます。

    また「借金返済方法」「多重債務解消」などの一見、無害な情報ページを作成するとしましょう。こうしたサイトでもUIDを記録しておき、闇金融などの顧客候補としてリストアップするのはどうでしょうか。

    クッキーと違ってリセットできない、ということは時間が過ぎるごとにどんどん情報が蓄積されていくということです。政府や業者は特定の情報にだけ絞り込みをかけてUIDの動向を探ればいい。

    こうしたUID名簿が危険を増すのは、個人情報と結び付いたときです。Webショップでの入力はもちろん、SNSでの本名登録、アフィリエイトサービスを導入するにあたっての認証手続き、就職/転職情報サービスへのエントリー、ちょっとした懸賞付きアンケート(あなたのお住いの地域を選んで下さい?ところでご年齢は?)、これらがすべてUIDとひもづけ可能になるのは言うまでもありません。

    いったんUIDとひもづけられた個人情報は、いわゆる「名簿屋」を通じて出回る可能性があります。
    アンダーグラウンドの業者が「名寄せ」をしていけば、氏名、住所、家族構成、なんでも集まりそうですね。
    なにせUIDという確実な識別手段があるのですから、同姓同名の別人だった、なんて心配はありません。
    Aのサービスでは名前だけ、Bのサービスでは住所だけ、という風に入力しても、総体としては個人情報がずらり。

    これだけ見てみると、すでに携帯電話サービスがどのくらい薄氷を踏んでるのかも分かります。

    ネットは終了しないと思いますが、我々が「インターネット」と呼んでいたものから変貌するでしょうね。

  2. mohno
    2008 年 7 月 12 日 02:51 | #2

    ご無沙汰です。あまり詳しい状況を知らずにコメントします^_^;

    高木氏の懸念はわかるのですが、docomo にしてみれば、au やソフトバンクが ID 発信して利便性を提供しているのに(しかも、現実に大きな問題は起きていない)、自分だけセキュリティに固執して利便性を損なっていると、市場そのものを失いかねないという危惧があったのではないかという気はします。セキュリティへの配慮と利便性のアピール度を、ビジネスとして天秤にかけた結果ではないでしょうか。おそらく、ほんとうに大きな問題が出てきたら、“業界全体の取り組み”として ID 発信をやめることにするでしょうから、まあ、インターネットは終了しないでしょう。

    そういえば、かつて米国では平気で SSN 登録させてた時代がありましたね。インターネットが普及するずっと前だと思いますが、個人の特定に便利な仕組みがあるんだなあ、と当時は思っていました。

    ちなみに、PC のアクセスに ID 発信を義務付けるのは、なかなか難しいでしょうね。携帯電話と違って“個人”との結びつきがそれほど強くないですし(ネット回線の共有は当たり前。パソコン毎にしても共有する場合あり)、悪意のユーザーなら無防備なワイヤレスを拾ったりとか、いろいろ間接的な抜け道を使うでしょう。その意味で、PC におけるネット規制は、あまり実効性を持たないんじゃないかと思っています。

    ところで、高木氏のエントリへの、はてブのコメントを見ると危機感いっぱいの印象を受けるのですが、Windows Vista の User Account Control が煙たがられ(←ボカッ)、XP の方が楽、みたいな論調をあちこちで見かけることを思うと、「そんなにセキュリティにシビアなお国柄だったっけ」と思ったりもします。「はてブ」で国民性を見極めるわけにはいかないにしても。

  3. keiji
    2008 年 7 月 13 日 00:37 | #3

    東方不敗さん、mohnoさん

    コメントありがとうございます。
    東方不敗さんの指摘はより具体的な怖さを示す例といえると思いますね。
    「不当料金請求」なんていうのはそれ自体が詐欺的な行為なのだからある程度の不当性というのは立証できるのですが、知らない間に思想信条や言論に関する情報が収集され、ネット以外の場所で利用されるなどというシナリオの方がより説得力があると思います。(これは違法であったとしても発覚しないため。)

    mhonoさんのような理解者がいてくれて安心します。セキュリティ関係者だけで盛り上がっても、一般の人に説明できなければと思います。でも日本人って国民性なのかドコモ以外のキャリアでは結局今までもこれだけの名寄せ可能な環境があっても欧米人ほどEvilな感じにはならないもんですね。

  4. AC
    2008 年 7 月 13 日 23:54 | #4

    「日本のインターネット」とは皮肉たっぷりな書き方の対象とはなにかを読んであげて欲しいです
    ここで「インターネット」ってwebのことでしょ?日本のってそれはthe internetではないでしょう
    the internetとはかけ離れた所に向かっているってことですよ

  5. keiji
    2008 年 7 月 14 日 00:56 | #5

    ACさん

    つまりthe internetとは違う「日本のインターネット」が始まったっていうことですか?

  6. 2008 年 7 月 15 日 20:58 | #6

    インターネットって何?

  7. mohno
    2008 年 7 月 16 日 02:07 | #7

    哲学に入る前にコメントしておくと、the “I”nternet ですね(i は大文字)

    哲学についてもコメントしておくと、「終わった」とか「始まった」という表現が軽々しく使われるので、そう言われたからって、本当に「もう終り」とか「いよいよ始まり」という感じはしないですよね。

  8. さかじゅん
    2008 年 7 月 18 日 20:45 | #8

    私は別の視点からこの問題を見ています、
    インフラ屋なのでアプリ屋の考えが見えない所ですが、
    WEBサーバ上でIPアドレス縛り掛けたとして、通信経路上で改ざん
    されても検知が出来ないのに、平文で飛んでくる固有IDを認証として使って
    どの程度信用できるのでしょうか?
    認証機能として怪しいものは利用者の特定に使ったとしても、やはり怪しいのではないでしょうか?

    固有IDと個人情報が結合される事に依る脅威
    と言う論点からはズレた話かもしれませんが、複数の脅威を挙げる事で
    「いつでもすぐに30秒で説明」し易い状況
    が生まれるのでは無いかと考えます。

  1. トラックバックはまだありません。

CAPTCHA