今日は、古巣のコミュニティ「JSPP」が改名した「SACSIS」に出席してきた。ポスターセッションで、筑波大加藤研究室の阿部さんによる、P2Pの分散ハッシュ表型探索方式を用いた匿名化Webプロキシのご発表を拝見して、いろいろと議論してきた。阿部さん曰く、来場者の半分くらいがこのシステムのそもそもの意義を理解してくれないのだという。匿名化の研究の意義は、暗号系などの会議であれば参加者は誰もが心得ているだろう。SACSISは元並列処理のコミュニティで、改名しても参加者にあまり変化がなかった。研究者であっても、分野外の人たちだと、匿名化技術の意義が理解されていないということだろうか。
固定IPアドレスのプライバシー懸念をネットワーク屋の人に話しかけたとき、真顔で「インターネットってそういうものだろう」と言われることがある。
「匿名化技術」と聞いて嫌悪感を抱く人が少なくないように思われる。犯罪捜査が困難になるなどと危惧するためなのかもしれない。しかし、「匿名」といっても、個人の特定を不可能にするものだけを指すわけではない。複数の主体に分割して管理される情報が、何らかの権限発動によって集積されて初めて個人を特定できるようにするシステム(一部の主体の意思だけでは特定できない)も匿名化技術のひとつである。裁判所の令状に基づいて容疑者を特定するといった余地を残すことのできる方法だ。
現状のインターネット接続に匿名性はあるだろうか。ダイヤルアップ接続の場合、電話をかけて接続する毎に、異なるIPアドレスが割り当てられる。IPアドレスから電話局や地域を特定可能なプロバイダもあるが、IPアドレスが変化するため個人を追跡することは困難になっている。しかし、犯罪捜査にプロバイダが協力すると、IPアドレスと時刻から契約者を特定されることがある。そのプロバイダが接続時の認証の記録を保持していればだが。(記録を保持すべきかという議論とは独立であることに注意。)
それが、常時接続が普及するにつれて、IPアドレスは半固定的になってきた。プロバイダが開示請求に応じなければ、プロバイダだけからでは個人が特定されることはないが、IPアドレスが固定であれば、そのアドレスでオンラインショッピングや、その他のログインを要するサービスを利用しているならば、それらのサービスの利用履歴から、そのIPアドレスと個人とが対応付けられることが起こり得る。状況によっては、犯罪捜査などの強い権限を持たない一般の人であっても、何かのアクセスが誰であるのかを特定可能となることがあり得る。
私自身も、1年半ほど前、ある掲示板で、常軌を逸した(他とは異質の)まさに脅迫文を執拗に数週間にわたって書き込まれ続けたことがあった(そんなことはこれまでにそのとき1度しか経験していない)が、referrerとIPアドレスと時間帯とある情報から、それが誰によるものであるかほぼ推定できたという経験がある*1。その掲示板のクロスサイトスクリプティング脆弱性を利用して罠のスクリプトを仕掛けていたなら、次に当人が書き込みした場合にだけ、証拠をその掲示板に書き込ませるということが可能な状態だった(実際にはその罠は仕掛けなかったが)。これが可能だったのは、当人が出張先の某国の大学でUserAgentの特殊なブラウザを使用していたからだ。もし、一般のダイヤルアップ接続を使っていたならば、こうした特定はできなかっただろう。
一般家庭にも常時接続が普及してきたことで、匿名性は失われつつあると言える。常時接続においても、5月25日の日記でも述べたように、IPアドレスを時々変更できる(あるいは自動的に変更される)サービスが登場して良いはずだと思う。それも匿名化技術のひとつだ(「技術」と呼ぶほどでもない、単純な仕組みで可能だが)。
このての発言をすると、「おまえは隠れていかがわしいことをしたいのか」などと言い出す輩が出てくる。私個人について言えば、私はほとんど実名(もしくは固定の仮名)で言いたいことを言って満足しているし、2ちゃんねるなどに見られる臆面もない誹謗中傷などは基本的には同調できるものではない(ただし、これは2ちゃんねるを否定するものではない)。この私的な立場と、ネットワークインフラがどうあるべきかの議論が、独立のものであることは言うまでもない。
かれこれ2年半前になるが、Java Houseにおける匿名発言をめぐって議論になったことがあった。私の立場は「匿名発言をするな」というものであったが、一部でこれに対する反発があった。最終的に私の立場は「実名だったら投稿しないような内容の投稿は禁止」という表現で整理されることとなった。つまり、実際に実名を使っているか仮名を使っているかは重要ではなく、内容を書く際のスタンスを問うものであった。皆が「実名」で書いている場と、皆が「匿名」で書いている場とでは、おのずと内容に傾向が現れてくる。「教えてクン」が放置される場では新たな「教えてクン」が増えていくという現象が見られるが、これは、そうした行為が許される場だと解釈して参加する者が現れるからだ。Java Houseで「実名だったら……」というルールを求めたのは、そのコミュニティではそのスタイルをとった方が有益であるという考えに基づいたものであって、他のコミュニティに対してまで期待するようなルールではない。さまざまなルールのコミュニティがあって、それぞれに固有の雰囲気があり、それによって衰退する場合もあれば、罵倒と自嘲によって一定の秩序が保たれて発展するコミュニティもあり得ることは理解している。
匿名性の話をすると、掲示板における匿名性ばかりが注目されてしまうかもしれないが、そのことよりも、電子商取引サイトなどへのアクセスについて、それがあったほうが良いということを言っていることに注意してほしい。現状では、IPアドレスからでは個人を識別できないため、cookieを使った識別が行われている。もし将来に固定IPアドレスが常態化すれば、ショッピングサイトなどにおいて、cookieを使わずにWebアプリケーションを実装できるようになるかもしれない。そうなると、「ログアウト」ができなくなる。ログアウトすると記録を停止するように事業者のサイトが作られていたとしても、消費者から見ると、記録されているかもしれないという疑いを持つことになる。プライバシーポリシーを確認して、信用できるところだけ使うことになるが、プライバシーポリシーを確認していないサイトを初めて訪れたときから、そのサイトは訪問者が誰であるのかを特定できてしまうことが起こり得る。cookieも使い方によってそのような追跡を可能にするものであるため、P3P (Platform for Privacy Preferences)という仕組みが考え出され、いくつかのブラウザでは、デフォルトでサードパーティのcookieを拒否する設定となっており、この問題は回避されている。IPアドレスの固定化も同じ理由によって回避されるべきと言えるはずだ。
5月28日のセキュリティホールmemoで小島さんが私の5月25日の日記について次のようにコメントしてくださった。
ふつうの IPv6 屋さんは「P2P でつながる事が大前提。プライバシー? 知らん」という考え方のような気が。ふつう見かけるのは実名主義者で匿名主義者はほとんどいないような気が。
実名主義者/匿名主義者というくくり方は、上に述べたように誤解を招くものかもしれない。小島さんの言いたいことはこういうことではなかろうか。最近の状況がどうかは知らないが、少なくとも数年前には、IT技術者が、一般人のインターネット利用法の実態を把握していない言動をする様子がたびたび見られた。わかりやすいところで言えば、「サブジェクトに日本語文字を使うな」という8年くらい前までなら同意する人も多かったことを、2年くらい前になっても言った人は、コンピュータ技術(特にインストール技術)に自負心を持つらしき人だった。他には、かみ合わない議論を続けていると、「自分はインターネットで買い物などしない」と開き直り、しまいには「買うやつが悪い」とまで言い出す人が観察されたこともある。もっと昔の例では、7年前にメーリングリストを始めたとき、Webで案内情報を提供したところ、「Webを使わない人もいるのだから、メールでも案内すべきだ」という意見が出たことがあった。Webを使うように努力すればいいのにだ。昔気質のIT技術者の中には、そうした、新しいものをあえて拒否することを誇りにする人がいるらしい。
研究目的や議論目的だけでネットワークを使用していると、個人の特定が何ら気にならないことがある。私も10年前ならそのような認識だった。しかし、これだけインターネットの利用が一般の人たちの間の普通の生活に入り込んできた今となっては、もうそういう人はいなくなったと信じたい。もしそういう理解のまま、匿名化技術の必要性を否定するIT専門家が幅を利かせているとしたら、社会にとって由々しきことだろう。
*1 普通の誹謗中傷はかまわないが、相手に誰だか容易に予想されるような内容の脅迫を臆面もなく毎日同じ時間帯に書き続けるその人格の異常さに身の危険を感じたため、彼の出身研究室の教授に相談に行こうかとも思った。