最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3469   昨日: 4212

2004年04月07日

脆弱性かな?と気付いたら

勤務先の職務として参加したIPAの「情報システム等の脆弱性情報の取扱いに関する研究会」の報告書が発表された。

振り返れば、4年前の1月末、初めて脆弱性問題の当事者となってこの問題について考えさせられた。その後いくつか脆弱性の発見とメーカーへの通報を経験し、翌年に起きた携帯電話回収の事例を傍から見て、これは日本では公的な仕組みがないかぎり改善しないだろうと感じていた。昨年1月のIPAの講演とパネル討論ではそれを主張する機会を与えていただいた。10月には産業構造審議会の情報セキュリティ総合戦略の中でこの取り組みの必要性が盛り込まれ、そして11月4日からこの研究会が開始され、委員の皆様の精力的な議論を経て、ようやく実を結ぼうというところである。

現時点では法的拘束力がないため、本当にメーカーが対応してくれるのか、発見者の行為が免責されるとは限らないため、発見者は本当に通報してくれるのかなど、心配なところはある。今の段階で可能な現実的な落とし所に落ち着いていると思うが、いろいろと意見を公開メーリングリスト等で表に出していただけたらと思う。

数々の原稿を落としてごめんなさい

3月下旬発行の東浩紀さん編集のメールマガジン「波状言論」で、「B号では「テキストサイトの現在」が高木浩光さんによるセキュリティ問題を巡って展開」として予告されていた原稿が、締め切り日後に風邪でダウンして書けなかった。関係の方々、購読者の方々にはまことに申し訳ございません。このところその日その日の締め切りと仕事を処理する毎日で、他にも多数の原稿と仕事を落として多方面にご迷惑をおかけしております。面目ないです。

終わってしまった「毎日INTERACTIVE」

http://www.mainichi.co.jp/ が http://www.mainichi-msn.co.jp/ に転送されるようになった。はっきり言って、読む気が失せる。4月4日からスタートだったらしい。

  • 文字が小さすぎて目がショボショボする。
  • 横幅が固定されているため、右端がウィンドウの外にはみ出して読めない。
  • 横幅が固定されているため、右端が切れて印刷不可能。

Webページデザインの基礎をまるでわかっていないクソ業者が作っているようだ。なぜ意図的に文字を他のサイトより小さくする必要があるのか? なぜウィンドウの横幅を固定にする必要があるのか? 馬鹿じゃねーのか。

しかも、過去の記事へのリンクは自動転送されない。過去何年もの貴重な有益な情報が全部消えてしまった。

もう、毎日INTERACTIVEを自発的にチェックに行くことはないだろう。ブックマークから削除した。しかたなく読む必要があるときは、Bookmarkletの「zap style sheets」を使ってスタイルシートを除去して、ウィンドウを右端にスクロールさせれば、どうにか読める。印刷して読むことは不可能だが。

さようなら、毎日INTERACTIVE。長い間ありがとう。最後の裏切りは忘れないよ。

夕刊だけ読むことにしよう。

どうでもよいが

その http://www.mainichi-msn.co.jp/ だが、ウィンドウを画面最大に広げると、右端に大きな広告が現れた(XGAサイズ以上の場合)。そんなところに広告が出ているとは気付かなかったよ。ウィンドウサイズが最大ではないときは、右端にスクロールしても、その広告はなぜか現れない。(Internet Explorerの場合。Netscape 7だと、スクロールすれば広告を見ることができる。)

収入源であるはずの広告を見せたくないのだろうか。ここまで低レベルな業者は他になかろう。なぜそんなところが生き残っていられるのか。

本日のリンク元 TrackBack(0)

2004年04月10日

悪いこととルール違反

今から18年くらい前だろうか、自動車でシートベルト着用が義務付けられたころ、警察庁(か交通安全協会かどこか)のテレビCMで、こういうのがあった。

画面が真ん中で左右に分かれていて、左には、いかにも善良そうな服装と髪型と姿勢の好青年がシートベルトをして、右には、いかにも横柄な感じの服装と髪型と姿勢の若者がシートベルトなしで、それぞれハンドルを握って自動車を運転している映像。しばらくすると、キキーと急ブレーキの音、そして右の男(不良)はガッチャンとフロントガラスに頭をぶつけて大怪我、左の男(善良)は、無傷でほっと胸を撫で下ろしてニコやかな表情。シートベルトしましょうね、という宣伝だった。

これを見て、「なんて下手糞な宣伝手法なんだ」と思ったのを今でも覚えている。「逆だったらもっと効果は大きいはずだ」と思ったからだ。つまり、善良だがシートベルトをしていない好青年が大怪我をし、横柄だがシートベルトをしている男が助かるという映像の方が、効果的だろうということだ。

当時は、シートベルトをしない人が大半だった。1986年の道路交通法改正で着用が義務付けられるまでは、善良な人にとっても、シートベルトをしないことは「悪いこと」ではなく、窮屈だからとか、自分のことだからといった理由で、しない人が多かった。(だからこそ義務付けられたのだろう。)

つまり、当時の時点では、シートベルトを着用するかサボるかは、善良であるか不良であるかとは関係がなかったのであり、だからこそ、不良な人がシートベルトをしていて助かるという映像の方が、人々にその意味を強く訴えかけられるはずだ……と思ったのである。

子供にルールを教える方法

中央省庁など国の機関の多くは、子供向けにその機関がどんな仕事をしているかを紹介する、いわゆる「キッズサイト」を設けている。印刷や流通のコストをすっ飛ばして広報活動ができるのは、インターネットの特長のひとつであるし、また、こうしたコンテンツの充実によって、学校にインターネットを普及させるという効果があるのだろう。統計局にそうしたキッズサイトのリンク集のページがある。

キッズサイトをいろいろ見て回っていると、子供向けの説明とは、大人向けと何が違うべき(どういう工夫が凝らされているべき)なのだろうかと疑問に思えてくる。すぐに気付くところでは次のような特徴が見られる。

  • 平易な漢字しか使わないようにする。もしくはふりがなをふる。
  • 「いろいろなことがわかるさいとだよ」などと、親しみのある口調で語りかける。
  • アニメーションやゲームを通して何かを伝える

いくつかのサイトでは、大人向けのコンテンツを子供向けの口調に差し替えただけのような安易なコンテンツもみられる。典型的な例は、2月22日の日記に書いた、教育ナショナルセンターのユーザ登録画面である。現在は、幼稚園児・小学生向けのユーザ登録画面は廃止され、

新規(しんき)ユーザ登録(とうろく)は保護者(ほごしゃ)の方(かた)や先生(せんせい)と一緒(いっしょ)にしましょう。

と表示されるようになっているが、2月の時点では2月22日の日記に書いたように、大人向けの一般的なユーザ登録画面の説明文を、ただ単に子供向けの言葉遣いに書き換えただけのものだった。

現在の差し替えられた画面でさえ、「新規ユーザ登録」とか、「保護者の方」といった、小学生向けならばもっと他の適切な言い回しがあるのでは?と思わせる、大人向けの言葉が使われている。おそらく、この文章を書いたのは、教育者ではなく、そのサイトのシステム管理者か、事務屋の人ではないだろうか。

子供向けコンテンツのあり方というのは、おそらく教育学の分野で古くから研究されてきているだろうと想像する。口調を変えればよいというものではないし、アニメーションを使えばそれで終わりというものでもなく、伝えたいことの本質を、子供向けに噛み砕いて表現することが必要であろう。しかし、噛み砕くということが難しそうだ。単に平易な概念に置き換えるということではないだろうし、複雑な部分を省略するということでもなかろう。

警察庁と警視庁は子供に不正アクセスをどう教えているか

警視庁には「ハイテク・キッズ」というキッズサイトがある。

みなさん、こんにちは。
 ここは、ハイテク犯罪についてお勉強するところです。

とあるように、そういう趣旨のサイトである。

ざっと見ると、チェーンメールを転送してはいけないとか、迷惑メールに返信してはいけないとか、出会い系サイトに注意とか、掲示板での悪口に気をつけようとか、犯行予告は犯罪とか、著作権侵害や個人情報の取り扱いについて書かれている。

そして、セキュリティに関することは、「セキュリティ対策をしっかりやろう」というページに書かれている。中身を見てみると、コンピュータウイルスと不正アクセスについて書かれている。ウイルス対策について、脆弱性の修正メンテナンス(パッチの適用)のことが書かれていない(ウイルス対策ソフトウェアのパターン定義更新をせよということしか書かれていない)など、突っ込みどころは多いのだが、今日はそれは本題ではない。

注目すべきは、その下に書かれている「不正アクセス」に関する説明である。

「不正アクセス」とは、ユーザIDとパスワードが勝手に使われてしまうことを言います。

このユーザIDとパスワードは本人を確認するためのものです。

パスワードとは自分だけが知っている秘密の文字です。

これを何らかの手段で他人が手に入れ、それを使って「なりすます行為」を不正アクセスと言います。 ユーザIDとパスワードは家の鍵と同じようなものです。

家の鍵が盗まれてしまったら家に入られてしまうのと同じで、パスワードが他人に知られてしまったら、自分の秘密のメールを読まれてしまったり、自分のホームページが書き換えられてしまったり、とっても危険なことに巻き込まれてしまう可能性が高いんです

そして、インターネットの世界では、なんとかしてパスワードを盗もうとしたり、パスワードを探し当てようとしたりする、悪い人たちがいます

だから、家の鍵(パスワード)を家族以外の人に教えたり、他の人から見えるところに置いたりしないように、しっかり管理しておくことが大切です。

メモしておいたり、他人に教えたりしないように気をつけて、不正アクセスの被害にあわないようにしよう。

警視庁, サイバーKIDS セキュリティ対策

これだけしか書かれていない。つまり、ここでの教育は、子供たちに被害に遭わないための自衛策を教えるというスタンスになっている。「不正アクセス行為をしてはいけません」という教育はなされていない。

はっきりとは書かれていないものの、暗示的には書かれている。「ユーザIDとパスワードが勝手に使われてしまう」の「勝手に」という表現は、なんとなく悪いことである印象を与えるだろうし、「パスワードを探し当てようとしたりする、悪い人たちがいます」という表現は、悪い人たちがそういうことをするのだということを言っているし、「秘密のメールを読まれてしまったり、自分のホームページが書き換えられてしまったり」という被害例を挙げることで、自分がされたら嫌なことであるというイメージ作りがなされている。

しかし、2000年2月に施行された比較的新しい法律である不正アクセス禁止法は、「悪いこと」に罰則を与えるという性質のものではない。

「秘密のメールを読まれる」「ホームページが書き換えられる」ということは、子供たちの感覚からすれば、「悪いこと」になるのかもしれないが、不正アクセス禁止法は、実際にメールを盗み読む行為、ページを書き換える行為をしたかどうかとは関係なく、他人のユーザIDとパスワードを無断で使用してログインしたその時点で、犯罪が構成されるというものである。

不正アクセス禁止法の立案に携わられた警察庁の方々によって法律施行後に書かれた書籍「逐条不正アクセス行為の禁止等に関する法律」(ISBN:4803709157)には、この法律の立法趣旨について次のように解説されている。

既に述べたとおり、ネットワークに接続されたコンピュータ上には、ネットワークを通じて様々な価値ある情報が集積している。また、(中略)

このような特性を有するコンピュータ・ネットワークが犯罪の対象とされたり、犯罪に利用されたりした場合には、その被害や影響が従来以上に重大かつ広範に及ぶこととなるのであって、高度情報通信社会の健全な発展を図るためには、これを事後の捜査のみにゆだねるのではなく、未然に防止するための措置を的確に講ずる必要がある。そこで、本法では、このような犯罪、すなわち、「電気通信回線を通じて行われる電子計算機に係る犯罪」の防止を目的として掲げたものである。

従来、犯罪防止を法目的に掲げることに我が国の立法態度は積極的であったとは言えず(注二)、他の行政目的のために一定の行為を規制することとすれば、事実上犯罪防止の効果が期待できるときは、当該他の行政目的による規制に委ねることとする傾向にあったとも言える(注三)。しかしながら、一定の行為をいかなる目的のために規制するかは専ら立法政策の問題であり、必要があれば犯罪防止を法目的に掲げることに何ら支障はなく、一の規制について犯罪防止と他の行政目的が併存することも法論理的には問題がないところである。そもそも他の行政目的による規制を借りて犯罪防止の効果を期待することには限界があり、特に昨今の犯罪情勢にかんがみると、そのような立法態度を維持することは、犯罪対策の観点からは無責任であるとのそしりを免れないであろう。その意味で、電気通信に関する秩序の維持を図るとの目的だけでなく、犯罪防止の目的から積極的に必要な法規制を行うこととした今回の立法は、今後各種犯罪対策を推進する上で大きな意義を有するものと言える。

なお、既に述べたとおり、本条は、不正アクセス行為の横行によりアクセス制御機能による利用権者の識別に対する社会的信頼が失われ、それが犯罪の抑止力を低下させる点に着目したものであるから、個々の不正アクセス行為が犯罪の実行を目的として行われるものであるかどうかを問うものではない

不正アクセス対策法制研究会編著, 逐条不正アクセス行為の禁止等に関する法律, p.28

「注二」には、犯罪の防止を目的としている他の法律の例として、古物営業法、銃砲刀剣類所持等取締法、風俗営業法が挙げられている。また、「注三」には、犯罪防止目的以外の行政目的での規制の例として、毒物劇物取締法、覚せい剤取締法、武器等製造法が挙げられている。

「秘密のメールを読む」とか「ホームページを書き換える」といった行為を直接に処罰するのは難しいのかもしれない。前者は電気通信事業法違反、後者は電子計算機損壊等業務妨害罪で取り締まれる場合もあるのだろうが、たとえばごく私的なサイトでページの内容が書き換えられたとして、それがユーザに許されていたことなのか、電子計算機損壊等業務妨害にあたるかという判断はそう簡単でないように思われる。「秘密」とは何か。守るべき情報と守る価値のない情報の線引きなどできるのか。昨年の不正競争防止法の改正により、企業秘密が定義され、特定の情報窃盗に対しては刑罰規定が設けられたらしいが、個人の「秘密のメールを読む」などは対象外であろう。

そういう状況の中で、許可されていない行為であることを明確にする上で、「アクセス制御機能により制限されている特定利用」かどうかという線引きをするところに、不正アクセス禁止法の意義があると理解している。

したがって、同法第三条第2項第1号が規定する行為そのものは、子供が持つ素朴な感覚としての「悪いこと」には該当しないのではなかろうか。

ふたたび不正アクセス対策法制研究会編著の書籍から引用すると、

しかしながら、本法は、言うまでもなく、情報の不正入手や電子計算機の無権限使用を処罰することを目的とするものではない。本法の目的は、前記のとおり、アクセス制御機能に対する社会的信頼を確保して、犯罪の防止及び電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することにあり、それ自体が保護法益となるべきものである。

不正アクセス対策法制研究会編著, 逐条不正アクセス行為の禁止等に関する法律, p.24

とされている。

実際のところ、2000年にこの法律が施行されてから、急速にWebアプリケーションによるeコマースが発展したように思う。2000年と言えば、「インパク」が開催された年であり、企業や自治体のパビリオンに行ってみると、どうでもよいところに、ユーザ名とパスワードによるログイン機能が設置されている事例が多数見られた。ろくな出し物がなくても、ログイン機能があれば、なんとなくそれなりのパビリオンを提供しているような格好をつけることができた。どこに行っても、似たような、これといって特色のないコミュニケーションコーナーがとりあえず設けられていた。こうしたサービスが提供できたのも、他人のユーザIDとパスワードでログインする行為が、法律によって保護されたからこそであろう。

もっとも、このような過度の保護のせいで、パスワードなどという脆弱な認証方式が、かつてなく広範に普及してしまい、その結果として、より高度な認証方式(公開鍵認証等)の普及を遅らせてしまっているという弊害もあるだろう。しかし、1999年当時としては、まだ公開鍵暗号が自由に使えるようになるかどうか(米国の暗号輸出規制等)もはっきりしていなかったのであるし、技術的にも普及の準備が十分に整ってはいなかったのだから、とりあえず、脆くて弱い方式であっても、まずは法律で保護することが、「高度情報通信社会の健全な発展」のために妥当だったのだろう。

また、不正アクセス行為が法律で禁止されたことによって、セキュリティ技術に携わる者としては、システムの脆弱性について表で議論しやすくなったと言える。私は、ちょうどこの法律が施行される直前である2000年1月の時点までは、情報セキュリティには何ら携わっていなかった。2000年1月末にシステムのセキュリティ欠陥の問題に直面し、この問題を解決するために根本的に必要なことは、欠陥の技術的原因を技術者の間に広く知らせ、経営者らには欠陥が多数あるという実態を知らせることだと感じた。その考えに従って、いくつかの脆弱性情報を公開していたわけであるが、ある日、古くからJPCERT/CCでご活躍されていらしたある方にお会いした際に、「僕は、公開しないほうがいいと思うよ。悪用する人がいるから。」という意見を頂いたことがある。たしかに、法による保護がない時代では、公開しないことによる効果の方が大きかったのかもしれない。しかし、法による保護で歯止めがかかり、一定の秩序が形成され、その結果、無数の企業がその種のサービスを提供するようになった現在では、脆弱性の事実を公表していくことは、妥当なものとなったと言える。

さらに、サービス提供者の立場からすれば、どんな技術的対策をとっていれば法で保護されるのかという点で、ひとつの安全基準にもなっていると言える。具体的には、「識別符号」が同法第二条第2項で定義されたことにより、ユーザ名と電話番号でログインするというシステムは、不適切な設計である(ユーザ名も電話番号も識別符号にあたらない)ということになる。

話題がそれてしまったが、不正アクセス禁止法はこのような性質のものであり、これが子供の直感にマッチしているかは疑問である。

法律はたくさんあり、人はそれを守らねばならないわけであるが、いくつかの法律は子供には関係がない。古物営業法、風俗営業法についていえば、子供が営業することはないし、毒物劇物取締法、武器等製造法でいえば、子供が自力でそれらを扱うことはほとんどないだろう。

一方、銃砲刀剣類所持等取締法のように、それらを所持することが「悪いこと」であるという常識は子供たちの間におそらく形成されているであろうし、覚せい剤取締法については、「人間やめますか」といった宣伝をすることによって、「悪いこと」という常識はそれなりに形成されているはずだ。

しかし、他人のユーザIDとパスワードでログインする行為はどうだろうか。2月22日の日記「小学生や園児を不正アクセス禁止法の崖に立たせる日本の教育政策」に書いたように、子供がユーザIDとパスワードを使うという事態は、もはや日常となっている。国の機関がそれを推奨している。子供はこの法律に無縁ではない。

それなのに、他人の識別符号の無断使用という行為が、「悪いこと」かどうかとは無関係に法律で禁止されているので「やってはいけない」とする教育、もしくは、それ自体を「悪いこと」だとする教育が、警視庁のキッズサイトでさえなされていないのだ。

これは警察庁のキッズサイトである「キッズ・パトロール」でも同じだ。このサイトも、「悪い人がいるから危険な目に遭わないように」というスタンスで作られているだけで、何が悪いことなのかについては触れられていない。興味深いことに、このコンテンツのオープニングには次のような子供へのメッセージが出てくる。

他の星に遊びに行く時にはルールがあって、ちゃんと守らないといけません。

みんなも道路を渡る時は信号が青になってから渡るでしょう?

もし赤信号で渡ったら、車にはねられてしまうかもしれないので、とても危険です。

みんなの家に入るのにカギが必要なように、星に入るにも「あいことば(カギ)」が必要です。

もしカギが盗まれてしまったら大変です。ドロボウが入ってくるかもしれません。

(略)

星に住んでいる人の中には、良い人も悪い人もいます。

悪い人はカギを盗んで、他の星の人にイタズラしたり、

他の星の人に変身して、みんなをだましたりします。

キッズ・パトロールは、そんな悪い人がいないかいつも見はっています。

(略)

警察庁, キッズ・パトロール

横断歩道を赤信号で渡ってはいけないというのは、子供に対する教育として最も早い段階で必要で、かつ、的確に行われているものだろう。しかし、この例は、守らないと自分の身が危ないという点で、行為自体が「悪いこと」であるかとは無関係に子供に直感的に理解されるルールである。

星に入るために合言葉が必要だという話が出てくるのは、アクセス制御機能に関するルールの暗示であると思われるが、悪い人がイタズラをするという視点で書かれているだけだ。他人の鍵を使うことそのものが「悪いこと」だとするメッセージは、この後の画面を見ても出てこない。

物理的な鍵の場合、他人の鍵を勝手に使うためには、有体物である鍵を盗むことがまず必要になる。他人の有体物の勝手に手にすることが窃盗にあたり、「悪いこと」であることは、子供たちの間にそれなりに常識化しているであろう。しかし、バーチャルな鍵である、識別符号にはそうした常識が最初からあるわけではない。

それどころか、このコンテンツの「ハッピィちゃんの家に遊びに行こう」のゲームに進むと、「OPEN」という合言葉が出てきて、ハッピィちゃんの家にこの合言葉で入るようになっている。しかも、この合言葉はジグソーパズルを解くことで現れる。ゲーム感覚で識別符号を入手して他人の家に入るという話なのだ。ハッピィちゃんから「この合言葉で入ってね」と許可をもらって(あるいは利用権者としてアカウントをもらって)入るわけではない。解説文は出てくるが、

そのID(アイディー)とパスワードが合言葉になって、本当にその人かどうかをたしかめるんだ。

このID(アイディー)とパスワードをもらったら、人に教えたり、ノートに書いて、そのノートを誰かに見せてしまったりしないようにね!

もしID(アイディー)とパスワードが誰かに知られてしまって、その人が悪い人だったら…。

ドロボウと同じように、大切なものを盗んだり、イタズラしたりするかもしれないよ。

もし、誰かに知られてしまったら、かならず、すぐにお家の人や先生に相談してね!

警察庁, キッズ・パトロール

と書かれているだけだ。悪い人から身を守る側の立場でしか書かれておらず、自分が法律違反を犯してしまうことを避けるという立場では何ら説明されていない。

結局のところ、子供に法秩序を学ばせるには「悪いこと」「嫌なこと」というスタンスでしか説明のしようがないのだろうか。教育学的にはこうした議論は既になさているのだろうか。

それとも、「悪いこと」かどうかとは無関係に犯罪の防止のために作られたルールであり、かつ、すべての子供も当事者となり得るという、この不正アクセス禁止法が特殊であるがゆえに、あまり議論されていないということなのだろうか。

未成年の喫煙や飲酒も、「悪いこと」としてではなくルールとして禁止されているが、これは日常生活において、大人から子供へと教育されているだろう。それに比べて、不正アクセス禁止法のルールを、大人は子供に教育できているだろうか。

リアル世界では子供は大人と一緒に行動することが多い。デパートで子供がレジカウンターの中に入ろうとしたら、大人はそれを止めるだろう。しかし、ネット利用は基本的に一人でするものだ。現状で、子供がユーザIDとパスワードを使うというのは無理があるように思えてならない。

ハイテク犯罪は虚構なのか

先週、警察庁が監修したハイテク犯罪広報啓発ビデオ「虚構の闇を追え!」に出演したタレントの16歳の高校生が、掲示板に悪口を書かれたことが発端で、仕返しにWebページを書き換えたということで、不正アクセス禁止法違反容疑で書類送検される予定という事件が報道された。

この広報ビデオは、「虚構からの誘惑」「虚構への落とし穴」「虚構の闇を追え」と三部作になっていた。第一作である「虚構からの誘惑」は、一昨年、警察庁の方からいただいて拝見したことがある。内容は、山田まりや演じる主人公が、勤務先の受付で来客が置き忘れていった物にパスワードが書かれているのを見つけ、それを使って不正アクセス禁止法違反行為等を繰り返すという内容だった。今回の「虚構の闇を追え!」では、架空請求と違法コピーCD販売がテーマらしいので、不正アクセス禁止法のことは含まれていなかったのかもしれない。

今回の事件にはまったく唖然としてしまうのであるが、これは、不正アクセス禁止法違反行為が「悪いこと」(一年以下の懲役又は五十万円以下の罰金)であるという認識が広まっていない実態がさらけ出されたことになるのではなかろうか。

そもそも、ネット犯罪をテーマにするにあたり「虚構からの」「虚構への」「虚構の闇」と、ことさらに虚構を強調する意義があるのだろうか。コンピュータ関連の犯罪を扱う映像では、必ずといってよいほど、部屋の照明が暗くされており、「悪いこと」であることをイメージで表現するのが定番になっている。しかし、それらが犯罪である所以は、リアルかバーチャルかということとは無関係である。

人々が「悪いこと」をイメージする表現手法に頼って、犯罪を説明すると、視聴者の個人的な「悪いこと」基準で判断してしまうおそれがあるように思う。「自分は悪いことをしない」と確信している人からすれば、映像を見て、自分は関係ないと思ってしまう。その結果、罪の意識のないまま不正アクセス禁止法違反行為をしてしまうことが起きる。

警察の業務に携わる方からすれば、「悪いこと = 法令違反」なのかもしれない。彼らにとって、法律が施行されると同時に、それは「悪いこと」となる。だから、シートベルト着用義務を啓発するテレビCMでも、不良(悪い人)が義務を怠っているという映像にしかなりえないのかもしれない。

しかし、新しい刑罰法令は徐々に「悪いこと」として人々の社会通念に反映されていくのであり、初期の段階では、当然ながらその法律の趣旨の啓発・広報活動が欠かせない。

1999年の国会で、不正アクセス行為の禁止等に関する法律案に対する付帯決議として、次のように決議されている。

政府は、本法の施行に当たり、次の事項について善処すべきである。

一 不正アクセス行為は、コンピュータ・ネットワーク上の行為であり、一般の犯罪類型と異なる側面を有するところ、本法の施行に当たっては、国民に対し犯罪構成要件の周知徹底を図ること

二 ネットワーク・セキュリティ対策の促進及び充実を図るため、関係機関、団体等と連携・協力し、不正アクセス行為からの防御等に関する技術の研究開発に努めるとともに、ユーザ及びアクセス管理者等に対するセキュリティ対策に関する情報の提供及び啓発活動の推進に努めること。

三 (略)

四 (略)

五 (略)

不正アクセス行為の禁止等に関する法律案に対する附帯決議

これに対し、当時の野田毅国家公安委員会委員長は次のように答弁なさっている。

野田(毅)国務大臣

不正アクセス行為の禁止等に関する法律案につきまして、大変御熱心な御審議をいただき、速やかに御可決いただきましたことをまず厚く御礼申し上げます。

政府といたしましては、審議経過における御意見並びにただいまの附帯決議の御趣旨を十分尊重いたしまして、高度情報通信社会の健全な発展に寄与するため、ハイテク犯罪の防止とネットワークの秩序の維持に万全の措置を講じてまいる所存でございます。

今後とも、御指導、御鞭撻のほどをよろしくお願い申し上げます。

不正アクセス行為の禁止等に関する法律案に対する附帯決議

はたして、「国民に対し犯罪構成要件の周知徹底を図ること」という約束は、適正に全うされているだろうか。

警察庁に以前は掲載されていた同法の概要解説ページが、なぜか今はリンク切れで見つからなくなっている。

不正アクセス行為の禁止等に関する法律の概要 [H12.1.17掲載] (リンク切れ)

本日のリンク元 TrackBack(0)

2004年04月24日

4年前のIDO社員は今の詐欺蔓延の状況をどう思っているだろうか

総務省総合通信基盤局電気通信事業部消費者行政課から、「メールに記載されたURLへの不用意なアクセスについて(不当料金請求の新しい手口にご注意ください)」という消費者への注意喚起が出た。

最近では、携帯電話事業者が提供する一部のサービスを利用して送られてくるメールに記載されたURL(出会い系サイト、アダルトサイト等)にアクセスした際に、「入口」等のボタンをクリックしただけで契約が成立するような利用規約を定め、当該規約に基づき高額な入会金、会費等を請求してくるトラブルに関する相談が増加しています。

総務省 消費者行政課, メールに記載されたURLへの不用意なアクセスについて

という趣旨のものだ。

別紙(PDF)には次のように書かれている。

1 最近の手口

メールに記載されたURLをクリックして、高額な会費を請求される事例における最も典型的なパターンは、以下のとおりです。

1.受信者ごとに異なる識別番号を含むURLが記載された迷惑メールを送りつけ、サイトにアクセスされるのを待つ。

例えば、090▲▲▲●●●の電話番号宛てのメールに、この電話番号に対応した識別番号(下のイメージ図では、321■■a25c)を含むURLを記載し、受信者がこのURLをクリックしてサイトにアクセスしてきた場合、送信者は、当該電話番号の所有者がこのサイトにアクセスしてきたことを確認できます。

総務省 消費者行政課, メールに記載されたURLへの不用意なアクセスについて(別紙)

つまり、Webバグによるアクセス者の特定が行われていると指摘している。

続く部分には、

こうしたメールは、英数字を用いたメールアドレス宛てではなく、携帯電話のショートメッセージサービス(携帯電話事業者が提供する、電話番号宛てにメールを送ることができるサービス)を利用して送りつけられることが多くなっていますが、これは、アクセスしてきた者の電話番号を把握できるため、後日、入金の督促を電話で行うことができることがその原因と考えられます。

総務省 消費者行政課, メールに記載されたURLへの不用意なアクセスについて(別紙)

とある。

電話での督促は効果的なのであろう。当人が否定しても、「○月○日○時○分にアクセスしましたよね」と追求できてしまう。

これで思い出すのは、4年前に発覚したIDO(日本移動通信)のサブスクライバIDに電話番号がそのまま含まれていた件だ。IDOはその後、DDIとKDDと合併して現在のKDDIのauの部門の一部となっている。現在のEZwebは当時EZAccessと呼ばれていた。

EZwebのサブスクライバIDは、Webサイトにアクセスしただけで、X-Up-Subno: というヘッダで常時送信される。したがって、これにもし電話番号が含まれているなら、今回の総務省の注意喚起にある手口(Webバグでアクセス者を特定する)を使うまでもなく、どんな方法でアクセスしてもアクセスしただけで督促の電話がかかってくることになる。

2000年3月30日のケータイWatch(旧モバイルセントラル)の報道によると、当時IDOの広報は次のように答えていた。

IDOのEZaccessサービスで、利用者の電話番号がWebサーバー側に分かってしまうという問題があることが明らかになった。

(略)

同社広報では、「サービス開始当初からこうした仕様になっていることは分かっていたが、電話番号をもって個人を特定することはできないので、特に対処はしていなかった。4月中旬から6月を目処にDDI-セルラーやツーカーと同様の方式にシステムを変更する。利用者からの問い合わせ件数については把握していないが、何らかの形で利用者への告知を行なうことも検討しているところ」としている。

ケータイWatch, IDOのEZaccessにプライバシー問題, 2000年3月30日

「サービス開始当初から分かっていた」にもかかわらず、「電話番号をもって個人を特定することはできないので、特に対処はしていなかった」というIDOの認識に呆れるのだが、わずか数年後に訪れることとなった、架空請求詐欺やら、おかしな請求が続発する社会の情勢というものに、IDO社員達は想像が及ばなかったのだろう。

モバイルコマースが架空請求詐欺を助長する

そもそも、架空請求詐欺などというものがどうしてこれほどまでに増えてしまったのか。手口自体は昔からあったと聞くが、詳細は知らない。ここ数年で増えた要因はいろいろあるだろうが、人々が騙されやすくなってきたことが最大の要因ではなかろうか。

架空請求では、「有料サイトの利用料金」が未納だという理由で請求をすることが多い。5年くらい前であれば、「有料サイト」などと言っても、一般の人たちには意味すら理解できなかっただろう。今では、国民の大半が携帯電話を持ち、多くの人たちが着メロダウンロードなどの有料サービスを利用している。

5年前に架空請求詐欺をしようとすれば、何の利用料金を請求するだろうか。「電気代が未納です」という請求に騙される人はそういないだろうし、「指輪のご購入代金が未納です」と言われても、買っていない人は買っていないことをはっきりと認識できるだろう。

それが、ここ数年で情報課金サービスの利用が消費者に広く普及し、また、サービスの提供が、一部の有名大手事業者に限らず、有象無象の事業者によっても行われるという、「自由なネットビジネス社会」が訪れたことによって、買ったのか買っていないのかを消費者がはっきり認識しない世の中になってしまった。「有料サイトの利用料金」と言われれば、「もしかすると利用したかもしれない」と思ってしまうわけだ。

インターネットでの情報課金や購買契約は、携帯電話に限らず、古くからパソコンでも行われてきた。しかし、パソコンユーザが架空請求に騙されるということはあまりなかったように思う。

パソコンの場合、購買契約にあたって、自らの意思でクレジットカード番号を送信するか、物を買う場合は送付先の住所を送信することになる。何かを入力するという積極的な意思が働かない限り契約が成立しないというのが普通だ。

それに対して携帯電話のサービスはどうか。ボタンを押すだけである。情報課金では、暗証番号を入れるだけですぐに利用できる。支払いは電話会社が代行してくれるので、カード番号や住所などを自ら入れることはない。自分が誰であるかを入力する必要はない。電話番号の入力はしないし、氏名やユーザ名の入力もしない。これはパソコンでは実現できないことである。携帯電話でこそ可能なことである。

なぜそれが可能かというと、携帯電話会社からサービス提供者のサーバに対して、アクセス者のサブスクライバIDが暗黙的に送信されているからだ。iモードの場合では、サブスクライバIDは「公式サイト」のみに送信されている。

こうした「利便性」は、携帯電話だからこそ求められるものであろう。契約にあたってできるだけ文字を打ち込みたくないからだ。

しかし、そういう、寝転びながらできるような契約行為に消費者が慣らされてしまった結果、架空請求詐欺に騙されやすい人々を大量に生み出してしまったのではないだろうか。

こういう問題はどう解決していくのだろうか。総務省の注意喚起によれば、

3 「入口」等をクリックした場合でも、錯誤(勘違い)があった場合、その契約は原則として無効となる。

法律上、利用者が契約をするに当たり錯誤(勘違い)があった場合、その契約は原則として無効となる旨が定められています(民法第95条及び電子消費者契約及び電子承諾通知に関する民法の特例に関する法律第3条(参考参照))。今回紹介した事例については、法律上無効となる場合が多いと考えられますが、契約に当たって錯誤があったかどうか不安な場合には、料金を支払う前に、お住まいの自治体等の無料弁護士相談等を利用して、本当に契約が成立し料金を支払う必要があるのか確認するようにして下さい。

総務省 消費者行政課, メールに記載されたURLへの不用意なアクセスについて(別紙)

とされている。

キャリア自らが消費者を無警戒にさせている事例

総務省は今回の注意喚起で、「注意点、対処方法」として次の点を挙げている。

1 見覚えのない送信元からのメールに記載されたURLには不用意にアクセスしない。

見覚えのない送信元からのメールに記載されたURLにアクセスすると、今回の事例のように思わぬトラブルに巻き込まれることがあるので、不用意にサイトにアクセスしないようにしましょう。特に、『 http://○○.jp/?321■■a25c 』など、URLの最後にランダムな英数字が含まれている場合は、既述の仕組みにより、アクセスしただけで電話番号やメールアドレスを特定されてしまう可能性がありますので、注意しましょう

総務省 消費者行政課, メールに記載されたURLへの不用意なアクセスについて(別紙)

ここで、KDDIが発行している「au Style.com」というメールマガジンの内容を見てみる。

From: austyle@ofmail.ezweb.ne.jp
Date: 20 Apr 2004 13:56:49 +0900
To: XXXXXXXXXXXXXXXXXXXXX@ezweb.ne.jp
Subject: [au Style.com11号]GWが待ちどおしい!?

au Style.com★Vol.11
========
今号も楽しい情報、うれしい情報が満載。ではさっそくスタート!
(略)
★投稿企画「スタコミ」に応募して、商品券2,000円分をGETしよう!
▼今すぐクリック!
[]http://mm.a1adnet.ne.jp/cgi-bin/PWO10102P.cgi?mid=A999200XXXXXXXX&lnk=5[]
========

URLの後ろに何やら英数字が含まれている。しかも、アクセス先は「a1adnet.ne.jp」という、どこの馬の骨ともわからないドメインになっている。

何十万、何百万もの消費者たちが、こうしたどこの馬の骨ともわからないドメインに、なにやら後ろに英数字が書かれていようとも、何も考えずにアクセスするのが普通な行為なのだと、慣らされているのである。携帯電話会社の公式サービスによって。

早くサブスクライバIDの非固定化対策を

総務省総合通信基盤局電気通信事業部消費者行政課は、今回の注意喚起の発表があったことからも、(4年前のIDO社員と違って、)Webバグによる個人特定とその悪用というメカニズムを理解なさっていることがうかがえる。

では、EZwebのサブスクライバーIDや、Vodafoneの製造番号通知が、次の手口として使われかねないことは理解されているだろうか。

サブスクライバIDは問答無用でアクセス先に送信される。もし、正規のサービス、たとえば通販などで、商品の送付先として住所氏名を提供したとする。そのサービスにはサブスクライバーIDも記録され得る。たとえその事業者に悪意がなくとも、その従事者が不正にその名簿(住所氏名とサブスクライバIDの対応表)を持ち出して、架空請求詐欺業者に転売するといったことは起きかねない。その現実度は、名簿の価格がいくらになるかしだいだろう。

総務省の今回の注意喚起では、「URLの最後にランダムな英数字が含まれている場合」と、ショートメッセージサービス(電話番号であて先を指定する)でやってくるメールに注意が必要とされている。インターネットメールで届いたメールに書かれたURLにランダムな英数字が含まれていない場合は、安心してアクセスしてよいかというと、そうではない。架空請求詐欺業者がサブスクライバIDの名簿を入手してしまうと、もう、アクセスした時点で、それが誰なのか特定されてしまうことになる。

そういう詐欺が蔓延する前に早く手を打つべきである。これまでにもたびたび日記に書いたように、対策手段には以下の方法などが考えられる。

  • 非公式サイトへのサブスクライバID送信を中止し、非公式サイトではcookieで制御するようにサイト構築することを促す
  • iモードの503iシリーズ以降と同様に、非公式サイトに対しては、サイトが要求したときだけ、ユーザの確認を経て、IDを送信するようにする
  • アクセス先ドメイン毎に異なるIDが送信されるようにする
  • ユーザがサブスクライバIDを自由に変更できるようにする

アドレスバーのない携帯電話はPhishing詐欺に耐えられるか

スラッシュドットの「そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺」にあるように、フィッシング詐欺が英国や米国を中心に大流行しているらしい。日本でもYahoo! JAPANが「不正な個人情報取得メールに関するご注意」という注意喚起を出している。

フィッシング詐欺の被害に遭わないために消費者が心がけるべきことは、大事な情報(パスワードやカード番号など)を入力する段階で、今見ている画面のURLが信用できる相手のドメインになっているかを確認することである。詐欺師たちは、そのURLを偽装しようと、Internet Explorerのセキュリティ欠陥を悪用したり、本物のアドレスバーを消して画像による偽のアドレスバーを代わりに表示するといった手口を使うようになってきているという。

そのように手口が巧妙化するのは、アドレスバーを目視確認して自衛する消費者がいるからであろう。だが、携帯電話の場合、元々アドレスバーが存在しない。ほとんどの人が、今見ている画面がどこのドメインなのかに注意を払っていないだろう。

スラッシュドットのこのコメントにあるように、iモードの場合では、メニューからURLを確認できるようになっている。だが、それを日常的に使っている人はほとんどいないに違いない。重要なことは、URLを確認する機能が存在することではなくて、URLが常に画面に表示されることによって皆が普段からそこを気にかけながらページを読むという習慣を身に着けることである。

EZwebの場合は、下の左の写真のように、URLを確認するための機能がメニューに備わっていない。「お気に入りへ登録」を選べば結果的にURLを確認できる場合もあるが、「このページはお気に入りリストに登録できません」となって確認できないページも多い。KDDIにとっては、そんな機能が必要だとは思ってもいないのだろうか。

たしかに、携帯電話の画面は小さいのだから、URL表示にスペースを割けないという事情はあるだろう。だが、上の右の写真のように、EZwebの場合、画面の一番上の部分は、ページのタイトルを表示する場所となっている。ここを、タイトルとURLとが交互に表示されるようにしてもよいのではなかろうか。URLは全部表示する必要はない。ドメイン名だけ表示するのでもよい。

携帯電話の場合、幸いなことにHTMLメールというものがない。そのため、パソコンにおけるフィッシング詐欺のように、見た目には正規のドメインのサイトへのリンクに見えて、ジャンプ先は異なるドメインになるという罠をしかけることはできない。ジャンプ前にURLを確認できるため、ページ表示にアドレスバーがなくても、それによってドメインの錯誤が起きることはないのかもしれない。

ところで、先日、DDIポケットから、WebブラウザとしてOperaを搭載するPHS端末が発売されるとの発表があった。ASCII携帯24の以下の記事にその画面が載っているのだが、アドレスバーが存在しないように見える。

-ASCII携帯24, DDIポケット、Opera搭載のPHS端末『AH-K3001』を発表

メールでHTMLが使えたりはしないかと心配だ。

FOMAは「デコメール」というHTMLメールらしきものを導入したようだが、Webバグや、ジャンプ先詐欺などにきちんと対策しているだろうか。

PCの世界では既に広く知られた悪用手段なのであるから、後発の携帯電話が同じことを繰り返すような愚かなことがあってはならない。

本日のリンク元 TrackBack(0)

2004年04月26日

太古の昔、アドレスバーが入力欄でなかったのを知ってるかい?

Webブラウザのアドレスバーといえば、URLを入力するところだと思っている人は多いだろう。だが、1994年ごろまで主流だったWebブラウザ「NCSA Mosaic」のアドレスバーは、URLをただ表示するだけで、書き換えや入力のできない部分だった。

その後、Netscape Communications社のブラウザ「Mosaic Netscape」が登場し、他に「MacWeb」なども登場したころ、どのブラウザだったか忘れたが、アドレスバーでURLの入力ができるように改良された。これの評判が良く、どのブラウザもその機能を持つようになり、今に至る。

アドレスバーが表示だけだったブラウザでは、URLを直接指定するには、ファイルメニューから「URLを開く」を選択するなどして、現れるウィンドウの入力欄にURLを書き込む必要があった。これがとても面倒だった。メーラからジャンプする機能も当時はなかった。

面倒なので、URLを入力することはめったにしなかった。どこにでも行ける便利ページをブックマークしておき、そこから行きたいところへとジャンプ、ジャンプ、ジャンプして近づいていくという使い方をしていた。Web検索も未発達だったので、キーワード入力でたどり着ける状況ではなかった。そういう状況の中で、Yahoo!のディレクトリサービス(検索ではない)が生まれ、人気を博した。カテゴリごとに整理されたリンクを辿っていくことにより、目的のページにたどり着くわけだ。そうした便利ページは多数作られ、互いにリンクし合い、どこが中心というわけでもない、まさにworld wideな「web」が構築されていた。

ユーザは、ひたすらリンクを辿ってあちこちを巡りまくることになる。それを指して「ネットサーフィンする」などと呼ばれることがあった。

そうした使い方をしていると、必然的に、今どこにいるのか把握するためにアドレスバーのURLを目視確認することが重要となった。ドメイン名を見て、どこの国なのか、会社組織なのか、大学なのか、国の組織なのかといったことを知り、情報の信頼性を判断したり、情報の著作者・発表者が誰なのかを意識しながら見たものだ。この確認行動は皆が自然と身に付けていた。

URLの表示欄(アドレスバー)とは、元来そのためのものだったのだ。

現在までにそうした使い方はずいぶんと変化してきている。もはや「ネットサーフィン」は死語になった。Googleがあまりにもズバリ目的のページを教えてくれるので、人々はブックマークをあてにしなくなった。キーワードからズバリ数ホップで目的のページにたどり着く。アンテナが普及したことで、特定のお好みサイトを必要なときだけ見に行くという使い方も定着した。メーラが本文中のURLへジャンプする機能を搭載したことにより、メールマガジンのビジネスが生まれ、同時に、spamメールから怪しいサイトへ誘導されるといった使われ方も生まれた。

人々が、ブックマークから何ホップ先までリンクのジャンプで辿っているか、その平均値が時代とともにどう変化してきたかを調べると面白そうだ。

さて、では携帯電話ではどうだろうか。Webブラウザもどきの機能、iモードやEZwebのことだ。

携帯電話には「公式サイト」という概念がある。iモードの「iメニュー」は、iモードを爆発的に普及させた大発明だったと言われている。独占的にメニューを提供することにより、ユーザが安心して厳選されたサイトを利用できるというわけだ。(もちろん、独占体制に限界や競争上の問題があるのは自明であり、その後オープン化するという展開になった。)

携帯電話ではほとんどの人が、公式メニューと数件程度のブックマークから直接サイトにアクセスして利用しているだろう。つまりサーフィンをしない。平均ホップ数がかなり小さいと推定できる。

だから、携帯電話にアドレスバーがなくても誰も困らなかったし、疑問を感じなかったのだろう。今見ている画面は、ついさっき意識的に選んだサイトであるに違いないと確信して使っている。

spamメールからジャンプする場合はどうか。幸いこれまで、携帯電話はHTMLメールをサポートしてこなかったので、アクセス先は目に見えているURLのドメインであることは明らかだった。サーフィンせずに使う癖がついているので、ジャンプした後でURLを確認する必要はなく、フィッシング詐欺に騙されにくくなっている。

だが、この偶然に生まれたと言える騙されにくさは、いつまで続くかわからない。

携帯電話のWebが高機能になればなるほど、公式メニューの感覚的必要性(信頼性を意識しないユーザにとっての必要性)は薄まるはずだ。PCブラウザにおけるGoogleのように、キーワード一発で目的のサービスにたどり着けるようになれば、Yahoo!のディレクトリサービスの利用が廃れたのと同じことが再び繰り返されるだろう。これがモバイルコマースの新たなブレークスルーとなるか、それとも信頼を損なって破滅の道に進むのか……。

Operaを搭載したPHS「AH-K3001」の登場は、その新たな一歩に踏み込むものかもしれない。公式メニューは用意されているのだろうか。

考えてみれば、Internet Explorerは公式メニューのようなものを備えている。MSNだ。だが、誰も使っていない。使われる公式メニューと、使われない公式メニューの違いはどこにあるだろうか。

さて、平均ホップ数の小さい現在の携帯電話においても、フィッシング詐欺は起きかねない状況はある。次のシナリオが考えられる。

  1. 公式メニューに取って代わる、便利なディレクトリサービスが、草の根の力によって登場し、人気を集める。
  2. これがビジネスとしてサービスされるようになり、人々の何割かがそこから「スタート」するようになる。
  3. そうした「ポータル」が乱立し、競争になる。新しいポータルサイトは、メールマガジンや掲示板、口コミ、ブログ、spamによって知れ渡る。
  4. ここで、嘘のポータルサイトを宣伝する詐欺師が登場する。便利なポータルサイトだと信じて使っていると、偽の銀行にアクセスして、まんまとユーザIDと暗証番号を盗まれてしまう。

やはり、古来からの知恵が示すとおり、URLの表示欄(アドレスバー)はどんなブラウザにも必要なのではなかろうか。

関連:

アドレスバーへの無理解が広げる「無断リンク禁止教」

昨今の日本では、初めて使った「インターネット」は携帯電話だという人が多いだろう。携帯電話でアドレスを確認せずに使うことに慣れた人たちが、PCのWebを利用すると、アドレスバーは単なるURLの入力場所にしか映らないのかもしれない。

さて、2月22日の日記「真の情報モラルを自分の頭で考えない輩がリンクの許諾制を伝染させる」でも書いたように、役所とか、役所の研究所とか、大新聞とか、大企業とか、大業界団体とかになると、Webサイトのメンテナンスが、役所の窓口係員気質な事務員が担当することになる。そうした人種は、「様式作成事務員の行動原理」に類する行動を取りがちである。

彼らは、Webサイトを整備するにあたり、まず何が必要かについて形から入る。プライバシーポリシー、著作権に関する注意書き、リンクポリシーなるものを書き揃え、トップページの一番下に並べるのが一般的らしいと彼らは勉強してくるわけだ。(著作権は常に存在するのであるからことさら断る必要はないし、リンクポリシーなんぞは全く存在意義がないのにもかかわらずだ。)

そして、それら3つの「ポリシー」は、どこか有名なサイトを参考にして作られる。意味のないものを作ろうとしているのだから、自力でポリシーを考え出すことなどできようはずもない。役所の研究所なら中央官庁のホームページを真似るだろう。大業界団体とかなら大新聞様のホームページを真似るだろう。そして、小さな企業や組織もそれらを真似するかもしれない。

そうやって、どこからともなく一瞬湧き出た「無断リンク禁止教」(リンク許可制)が、ビッグバンの如くどんどんと拡大していったのである。

無断リンク禁止教では、いろいろと細かな注文がつけられていることが多い。誰かが発明した項目は、次々とコピーされて受け継がれ、発明が起きるたびに項目数が増大していくのである。代表的な発明には以下のものがある。

  1. リンクはトップページにしてください
  2. 名誉や品位を汚すおそれのある場合はリンクをお断りします
  3. 法令等に違反し又は違反するおそれがある内容を含むものはお断りします
  4. 必ず○○へのリンクである旨が分かるようにしてください
  5. フレームの中に弊社のウェブサイトを取り込んだ形のリンクをしないでください
  6. リンクは必ず新しいウィンドウで開くようにしてください

このうち妥当と言える要求は、5.だけである。リンク元が法令に違反しているものを断ってどうなるというのか。品位を汚す恐れがあるというだけでリンク元の言論を妨げて何の意味があるのか。

ここで注目に値するのは、「必ず○○へのリンクだとわかるように」という注文だ。なぜそんなことを要求したがるのか。リンクを辿ってジャンプすれば、ジャンプ後にアドレスバーを目視確認するのが当然であり、ジャンプ後のアドレスバーを見て、そこがどこであるのかを識別するというのが古来よりのWebの正しい使い方なのだ。だから、リンク元にリンク先がどこであるかを自然言語で明記する意義はない。ジャンプすればわかるのであり、ジャンプしないなら知る必要もない。

こんな当たり前のことがわからないのは、「リンクポリシー」なるページの作成を任された人が、「様式作成事務員」であり、「インターネットといえば携帯電話のそれ」という感覚の持ち主だからだろう。spamメールに誘われてアドレスバーも確認せずにフィッシング詐欺に遭うような人たちからしてみれば、「必ず○○へのリンクだとわかるように」してもらわないと困るわけだ。

というわけで思いついたのだが、リンクポリシーなるものを書くとしたら、次のように一行だけ書けばよい。

必ずリンク先のURLがアドレスバーに現れるようにリンクしてください。

この一文で、FRAMEやIFRAME、IMGなどによるコンテンツの盗用や、誤解を招くリンクを避けられる。

画像等、HTMLページ以外のファイルへの直接リンクが困る(編集意図の読者理解を損ねる)のであれば、ITmediaが始めたようにRefererチェックをすればよい。

本日のリンク元 TrackBack(0)

2004年04月27日

JavaScript & Cookie対応携帯電話はXSSからおさらばできるか

昨日の日記にも書いたようにOperaを搭載したPHS端末「AH-K3001」は、携帯電話のWeb利用の新たな一歩を踏み出す可能性を秘めている。

京セラの発表資料によると、

■「Opera」ブラウザを搭載することで、HTML(パソコン用)サイトの閲覧が可能※

(略)

※サイトにより一部ご覧いただけない場合があります。

◎JavaScript対応により、パソコンで表示されるままの動きある豊かなホームページの表現を「AH-K3001V」にて再現することが可能です。

◎SSL対応によりインターネットショッピングも行えます。

またCookieにも対応しており、対応サイトへは一度IDやパスワードを入力すれば、次回からはID、パスワードを入力することなく直接アクセスすることが可能です。

とある。

携帯電話のcookie対応はEZweb陣営で既に達成されているが、JavaScript対応は初であろう。気になるのは、JavaScript対応がどこまでの範囲で行われているかだ。

PCの世界でもJavaScriptには複数の仕様があって混乱状態になっている。Microsoftは「JScript」と呼び、IEには独自の機能が大量にある。Netscapeにも古くは独自の変な機能があった。Operaも、「history.previous」などの独自の機能を無分別に入れてセキュリティを台無しにした前科がある。「JavaScript対応」とは元々そういうものなので、「完全対応」する必要はないだろう。広く用いられている機能にだけ対応すれば十分で、ときどき使えないサイトがあってもしかたない。そんなサイトを作る方が悪いと言える。

問題は、JavaScriptからcookieにアクセスする機能、つまり「document.cookie」というプロパティの機能が搭載されているかどうかだ。

もしこの機能が削られているならば、たとえWebサイト側にXSS(クロスサイトスクリプティング)脆弱性があったとしても、それによってcookieを盗まれることはない。

PCのWebの世界では、document.cookieなぞというものが発明されて普及してしまったために、XSS脆弱性というやっかいなセキュリティ課題を抱えることとなってしまい、Webアプリケーション自体が危なっかしいものになってしまった。

Netscape 7等では、docment.cookieによるcookieの読み書き機能をオフにする設定ができるようになった。ここをオフにすれば、サイト側のXSS脆弱性によってcookieを盗まれることを防止できる。

携帯電話のブラウザでは、どのみち完全なPC向けWebサイト対応は期待されていないのだから、この際思い切って、document.cookie機能を搭載しないでおいたらどうか。「セキュリティを重視して危ない機能は排除した」と主張すればよい。

一部の掲示板等でdocument.cookieが使われている(cookieで覚えさせたハンドルやメールアドレスを名前欄、E-mail欄に表示するため)が、JavaScriptを使わなくともCGI側で同じことを実現できるのだから、こんな機能はなくなってもかまわないはずだ。

本日のリンク元 TrackBack(0)

2004年04月28日

クレジットカード会社は会員をカード番号で管理しているの?

というニュースを読んだ。当事者の発表文には次のように書かれている。

弊社が本年1月に行った保険商品のダイレクトメール(DM)用に抽出した自社プロパーカード会員99,789名分のファイルの中に4名の会員様の情報が集中していることが明らかになり、当該ファイルから情報流出した可能性が高いことが判明いたしました。

流出した可能性のある情報は、お名前・郵便番号・住所・電話番号・性別・生年月日・カード番号の7項目であり、それ以外の情報は一切含まれておりません。なお、データ抽出からDM作成の間にはMO(光磁気ディスク)を媒体として使用し、

(略)

(当該MOはDM委託会社より期日どおり返却されております。)

日本信販, お客様情報が流出した可能性についてのお知らせ

ダイレクトメール発送のために委託会社に渡すMOディスクとして抽出したファイルとのことだが、そのファイルに、クレジットカード番号も含まれていたと読める。ダイレクトメールの発送にクレジットカード番号が必要なのだろうか?

「それ以外の情報は一切含まれておりません」とのことなので、有効期限は含まれていないのだろう。データベースを丸ごと渡したわけではないということか。だとするとなおさら、カード番号まで抽出した目的がわからない。

もしかして、会員管理のキーとして使う会員番号としてのカード番号なのだろうか。

そういえば、そもそもクレジットカード番号とは、クレジットカード会員の「会員番号」そのものだ。

クレジットカードの歴史を手繰ると、1920年代にアメリカの石油会社が始めたガソリン購入用カードが起源だという。ローカルなサービスにおいて、会員番号をキーにして、付けで買うためのシステムだったのだろう。そういうシステムを、そのまま店舗をまたがった汎用カードにしてしまうという大胆さがすごいが、コンピュータの未発達な時代では、それでもそこそこ安全だったのだろう。

そういうローテクなシステムを、「カード番号は秘密にすべき情報」という暗黙のルールの下でどうにかこれまでまわしてきたわけだ。もちろん、そういう危ういシステムをこの時代になっても使い続けるのは、カード会社が覚悟の上でやっていることなのだから、それはそれでけっこうだ。万が一のときにどうにかしてくれれるならば、利用者としてはそれでかまわない。

だが、そういう状況であるのなら、名簿管理のための裏会員番号を用意してもよいのではなかろうか。ダイレクトメール発送会社に渡す名簿のキーには裏会員番号を使うべきである。そういうことは当然行われているものと直感していたが、そうではなかったということだろうか。いまどきのコンピュータシステムであれば、裏番号と会員番号との対応付けなど朝飯前のはずなのだが。

ところで、電話番号・性別・生年月日も漏れたとのことだが、ダイレクトメール発送にどう使われているのかよくわからない。

ちなみに、「一切含まれておりません」という表現は、あたかも問題が小さいと主張しているかのような印象を与えかねない、被害者の神経を逆撫でするものであることを知っておいたほうがよいだろう。

ジャンプ前のドメイン確認では駄目な理由

いつものように今日も大量のspamメールが来たのだが、こんなURLへのアクセスを誘うものが目に留まった。

Hi Peter,
otter size does matter maladapt angry prescott.
http://rd.yahoo.com/M=56XXXX.……/R=0/*http://www.executivewholesaleinc.info/n/?AFF_ID=nvXXXXXXXs

アフィリエイトの悪用のようだが、それはともかく、アクセス先は yahoo.com であるように見えて、実際には最終的に www..executivewholesaleinc.info にアクセスすることになる。これは、yahoo.com のリダイレクタ(指定のURLに自動ジャンプするCGI)へのアクセスだからだ。yahoo.com だからと安心させてアクセスを誘おうというわけだ。

こういう手口があるので、URLの確認はジャンプ前ではなく、ジャンプ後(の重要アクションをとる前)に行うべきである。

携帯電話におけるURLの確認の必要性について、24日の日記「アドレスバーのない携帯電話はPhishing詐欺に耐えられるか」と26日の日記「太古の昔、アドレスバーが入力欄でなかったのを知ってるかい?」に書いたように、携帯電話では、事前にURLを確認するスタイルになっている。メールはHTML非対応なのでURLは目に見えるし、FOMAのデコメールでは、ジャンプ前にジャンプ先のURLを表示して確認するようになっている(機種がある)とのコメントを頂いた。

しかし、携帯電話のブラウザがリダイレクトに対応しているのなら、事前の確認ではだめだということになる。

ここで、「どうにでも使えるリダイレクタが公開されていることが悪い」という主張が出てくるかもしれない。だが、はてなアンテナだって、次の形式で任意のサイトにリダイレクトさせられる。これは世間に存在を認められたシステムと考えたほうがよい。

http://a.hatena.ne.jp/go?http://www.kantei.go.jp/

次にこういう主張が出てくるかもしれない。任意のサイトに中継するプロキシがどこかにあれば、それに騙されるではないかと。つまり、

http://proxy.hatena.ne.jp/translate?http://www.kantei.go.jp/
といったURLで利用できるプロキシがあれば、アクセス後の画面のURLのドメインは依然として hatena.ne.jp なのであるから、アクセス後にURLを確認したとしてもだめだという主張だ。

だが、そうしたプロキシサービスは、掲示板荒らしなどに悪用されかねないため、昨今ではほとんど存在しない。少なくとも、皆が信頼するようなドメインのサイトでそういうサービスは行われていない。

以上の考察から、やはり、URLの確認はジャンプ後(の重要アクションをとる前)に行うべきである……ということになる。

ただし、携帯電話がリダイレクトに対応していないならそれでもよいし、あるいは、リダイレクトのたびにリダイレクト先の確認が出るというならそれでもよい。

本日のリンク元 TrackBack(0)

2004年04月30日

毎日INTERACTIVEを救出せよ!!

4月7日の日記「終わってしまった「毎日INTERACTIVE」」の通り、移転した毎日INTERACTIVEはもう読みに行く気が失せていたのだが、久しぶりに訪れてみると、文字の大きさが普通に近くなっていることに気付いた。スタイルシートの指定は「font-size: 94%」となっている。まあ、このくらいなら許容範囲か。(以前は何パーセントだったのだろう?)

しかし、横幅が固定であるため右端が切れ、横スクロールを強いられるだけなく印刷が不可能という問題点は改善されていない。印刷できないのでは報道サイトとして使い物にならない。

そこで、Bookmarkletを使ってスタイルシートを一時的に追加することにより、この問題の回避を試みた。

このサイトの場合、TABLEとIFRAMEの横幅が決め打ちされているところに問題がある。そこで、次のように、横幅を100%にしてやればよい。

table {
    width: 100%;
}
iframe {
    width: 100%;
}

これをBookmarkletにしたのが以下だ。このURLを「お気に入り」に追加しておけば、ページを表示した後にこれを選択することで、毒牙から逃れられる。

javascript:document.createStyleSheet("javascript:'table { width: 100%2525; } iframe { width: 100%2525; }'").v

スタイルシート文字列からBookmarkletを生成するには、Jesse Ruderman氏の「Make a User Style Bookmarklet」が便利だ。

さらに、

iframe {
    height: 0;
}

とすると興味深いことになるが、これはちょっと私からお勧めすることはできない。

見出しの一覧がまだ小さくて読みにくいので、これらも含めて文字サイズを普通に戻してしまおう。ついでに行間を調整して、リンクから下線を消す愚行を矯正しよう。

javascript:document.createStyleSheet("javascript:'table { width: 100%2525; } iframe { width: 100%2525; } p.article { font-size:100%2525; line-height:130%2525; } a.bullet, a:visited.bullet, a:hover.bullet { font-size: 100%2525; text-decoration: underline; }'").v

というわけで、私のリンクバーはこんなふうになった。

tableのwidthを100%にする「横幅固定を解除」は、あちこちのサイトで使ってみると面白い。ITに強いITmediaでさえ、横幅固定という愚かなデザインをしている(ウインドウを最大化してみるとわかる)のだが、このBookmarkletでwidthを100%に変更してみると、そう悪くないレイアウトになる。最初からこういうデザインにしてもよいのではなかろうか。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
最新 追記