2003年07月10日
■ J-PHONEの「ユーザーID通知設定」を試した
一昨日の日記に頂いたコメントによると、J-PHONEでユーザIDが通知されるのは、新しめの機種からだとのこと。J-PHONE Developer Programの技術資料「ユーザーエージェントについて」によると、「パケット対応機」の場合に、IDが User-Agent: に含められて送出されるらしい。
知人のJ-PHONE端末を借りて、実際にどのように送出されるのか試してみた。使用した機種は、「J-P51」。一年ほど前に購入したものだそうだ。アクセスログにはこう記録された。
"GET /mmmm HTTP/1.0" 404 268 "-" "J-PHONE/4.0/J-P51/SNJMAA30XXXX7 MA/JDP51A36 Profile/MIDP-1.0 Configur ... "GET /mmmm HTTP/1.0" 404 268 "-" "J-PHONE/4.0/J-P51 MA/JDP51A36 Profile/MIDP-1.0 Configuration/CLDC-1.0 ...
上が、デフォルト設定の場合、下が、「ユーザーID通知設定」を「OFF」に設定した後の場合だ。後者では下線部がなくなっている。この下線部の「SN」以降の文字列(英字4文字と数字7桁)が、電話機の電池の下に貼られたシールに書かれている「製造番号」と一致していた。設定画面では「ユーザーID」と表記されているが、端末の製造番号のようだ。技術資料では「端末シリアル番号」と表現されている。
このアクセスの際、「ユーザーIDを送信してよいですか?」といった確認画面は出なかった。URLを入力してボタンを押しただけで、製造番号がサーバのアクセスログに記録された。この端末の持ち主である知人は、この「ユーザーID通知設定」のことは今まで存在すら知らなかったそうだ。ちなみに、この設定を変更するには4桁の暗証番号の入力が必要になっていた。それだけこの設定が重大なもの(不用意に他人に設定を変更されては困るもの)ということなのだろう。一方、位置情報の通知の設定では、暗証番号の入力は不要になっていた。
ところで、J-PHONEのユーザ向けFAQには、こんなQ & Aが用意されている。
Q3: ウェブ画面で「ユーザーID通知する事を同意するか?(はい/いいえ)」と表示される場合があるが、これは何ですか?
A3: ユーザーIDとは、コンテンツパートーナーがお客さまを特定する為の認証番号(電話番号ではありません)です。ユーザーID通知を拒否した場合は、有料無料問わず情報提供がされない場合があります。
同意確認が出るという話のようだが、今回の実験では出なかった。このQ & Aは、旧機種(あるいはパケット非対応機)の話だろうか?
この回答文だが、質問の真意は、どういう場合に「はい」を選び、どういう場合に「いいえ」を選んだらよいのか? というものだろう。それに答えていない。つまり、
信用できないサイトにアクセスしたときには「いいえ」を選択してください。
と説明するべきところだろう。それを書かないのは、「お客様に余計な心配をおかけするから」といったところか。「いいえ」を選ぶ必要のある場面などないというのであれば、この同意確認は何のためにあるのか?
また、単なるユーザID(10桁程度の製造番号)を「認証番号」と呼ぶのは、セキュリティというものをまるで理解していないことのあらわれだろう。
■ 続・とうとうsubscriber IDの収集が始まったのか?
これらはなぜか、同じ文面で別々のIDを持った2通が続けて送られてくる特徴を持っている。
とあった。私が知人から提供していただいたものも、同じものが2通だった。それらは、それぞれ、メールの宛先が、ニックネーム形式のアドレスになっているものと、電話番号形式のアドレスになっているものだった。そして本文中のIDが異なっている。
これらの両方にアクセスしてしまうと、電話番号とメールアドレスの対応表も作られてしまうことになる。