先週、はてなからこういう内容のメールが届いた。
■ はてな登録情報の住所追加、正しい情報登録のお願いについて
この度、はてなでは、ユーザー様にはてなをご利用いただくにあたって、必要な登録情報項目として「住所」を追加し、「氏名」「生年月日」「性別」についても正しい登録をおこなっていただき、皆様に安心してはてなをご利用いただくための「はてな住所登録、正しい情報登録キャンペーン」を実施します。
(略)
〜 住所登録、正しい情報登録のお願いならびにキャンペーン実施概要 〜
(略)
2)抽選で150名様に「はてなポイント付き住所確認はがき」をお送りします
住所登録をおこなっていただいたユーザー様の中からランダムに抽出をおこない、150名様に「はてなポイント付き住所確認はがき」を発送いたします。発送対象者様には、メールでご連絡もいたします。
(略)
※上記はがきをお受取りになったものの、所定の手続きでポイント獲得処理をおこなって頂けなかったユーザー様は、一時的にはてなをご利用頂けなくなります。(略)
自分は、実名でこの日記を書いているので、氏名は本物に違いないが、誕生日と郵便番号の登録はどうしていたっけ? と、登録情報変更画面に行ってみたところ、次の内容で登録していたことに気付いた。
なぜこのような登録をしたのだったか、振り返ってみた。
はてなは、以前はユーザ登録にあたって住所の届出を求めていなかった。そのような状況において、郵便番号が本人特定のために使うものでないことは明らかである。誕生日も同様である。
そもそも、郵便番号と誕生日だけ登録して何の意味があるのかわからないところであるが、実際に、無料サービスなどでそうした登録方式をとっているサイトがたくさんある。見よう見まねでそうしたやり方が広まっているのではないか。
あるいは、パスワードリマインダとしての利用を想定して登録させることが多いのかもしれない。つまり、ユーザがパスワードを忘れて、メールも届かなくなってどうしようもなくなって、サービス運営者に電話で泣きついてくるということは十分に起き得る。そのときにどうやって本人だと確認するのか。登録されている郵便番号と誕生日を電話口でスラスラと言えるかを確認するということが考えられる。
実際、ユーザ登録の画面で、住所以外の情報(誕生日や都道府県など)を書かせるところで、以下のような注意書きをしているサイトをみかけることがある。
パスワードの確認などで利用しますので、必ず正確に入力してください
アンケートや顧客動向の分析のために郵便番号や誕生日を使っているという話があるが、統計処理のためには、年代や都道府県までで十分であろう。郵便番号なら「305」まであれば上等である。
そして、誕生日や郵便番号が本人確認のために使われているのであれば、当然ながら、他のサービスにおいても同様に誕生日や郵便番号で本人確認が行われていると推察できるわけであるから、誕生日や郵便番号程度の情報であっても、それらが漏洩する可能性を持つことは自分にとってリスクとなる。
サイトにとって必須でないはずの情報であり、かつ、自分にとっても必要がなく(パスワードを忘れたりはしない)、自分にとってむしろリスクを負うことになる誕生日や郵便番号の登録は、架空の情報を登録してしまって差し支えない。パスワードリマインダにランダムな文字列を登録するのと同様の自衛手段である。
——そのように考えたと思われる。
しかし、先週になって、はてなから、利用規約の改定と施行の予告とともに、住所の登録が求められてきた。住所を虚偽の内容で登録するというわけにはいくまい。
郵便番号や誕生日と違って、住所を登録するということは、それは本人特定のためであることを意味するものであるし、今回のはてなからの告知で、明確な意思を持って正しい登録を求めていることが明らかになった。そのような状況で、虚偽の内容を登録するわけにいくまい。
改定規約の施行がまだ何か月か先であることから、それまでの間、あえて住所を登録しないでいることは許されるかもしれない。しかし、「305-0000」という郵便番号はどうしたものか。住所記入欄が設置されてそれに併置される形で郵便番号記入欄があるという状況(もはやパスワードリマインダ用には見えない)で、事実と異なる郵便番号を登録したままでよいのか。
誕生日はどうか。いまだ、生年月日を登録させる(生年だけとするのでなしに)目的は不明なままである。
そのような思考過程の末、どうするべきかすぐには心の整理がつきそうになかった。そこで、事実を説明するとともに急遽、一旦プライベートモードに移行することにしたのであった。
現在は、正しい郵便番号を登録した。生年月日は変更していない。
昨年9月23日の日記で「はてなの安全性を考える」というものを書いた*1。このようなことを書けたのは、当時、はてなが、さほど高いセキュリティを要求されないで済むサービスをしていたからだった*2。たしか、SSLによるログイン機能が用意されたのも、そんなに古くからではなかったと記憶している。
はてなは、SSLの提供について、気になる人は使うことができるという「オプション」として提供していたように見える。そのことは、プライバシーポリシー案において以下のように表現されていたことからもうかがえる。
はてなでは、データ伝送を保護するために業界標準のSSL 暗号を使用できます。
実際のところ、SSLは絶対に必要であるという社会のコンセンサスがあるわけではないだろう。たとえば、スラッシュドットにおいても、SSLを使わずにパスワード入力が行われているわけで、それは十分に妥当だと考えられているようである。パスワードと一口に言っても、常に暗号で保護されるべきものとは限らない。
そもそも一般に、インターネット利用者は、基礎的なリテラシーとして、「金の鍵」や「銀の鍵」と、「ベニヤ板の鍵」とを常に区別して扱うという考え方を身に着けていなくてはならない。
SSL非対応のサイト(掲示板サービスなどの重要でない画面)で入力するパスワードは、いつか漏れてもかまわない「ベニヤ板のパスワード」にする。本当に重大な安全性が求められるサービス(銀行など)で入力する「金のパスワード」を、けっして掲示板などで使ったりしないようにしないといけない。
たとえば、ポータルサイト「goo.ne.jp」のサービスでは、「ログインパスワード」とは別に「決済パスワード」なるものが用意されている。
フリーメールを使うときや、「教えて!goo」などを使うときに、SSLを使ったログインはしないのだけれども、決済を伴うサービスにおいてはSSLを使う必要があり、両者で同じパスワードを使っていたのでは、SSLで保護する意味がなくなってしまう。だから、ベニヤ板のパスワードと金のパスワードとが使い分けられる。求められるセキュリティレベルの異なる雑多なサービスが同居する、ポータルサイトならではであろう。
そのような、パスワード使い分けのリテラシーが確立していることが前提となっているため、スラッシュドットのような掲示板サービスにおいて、SSLが使われなくても妥当だと考えられるわけである。かつてのはてなも、そのようなサービスのひとつとしてみなされていたのであろう。
では、住所を送受信する機能があるときに、SSLによる保護は必須なのだろうか。これは、世論が決めることである。
今回、はてながユーザに住所登録を求めた際、一部の画面でSSLを通さずに住所情報が送受信される状態になっていたことが指摘され、ユーザの反発を招く原因のひとつとなったようである。
11月1日に開始しました、はてなへの住所登録のお願い、正しい情報登録のお願いについて、昨日は、SSL通信の徹底に一部不備があり、また、新プライバシーポリシーにも不備があるなど、はてな社内での準備に至らない点があり申し訳ございませんでした。
はてなは、先に書いたように、元々、SSLを必須のものとは考えていなかったふしがあるが、ユーザはそれに納得しなかったということであろう。
しかし、現時点においても、「利用者の皆様の個人情報はSSL暗号通信で保護しております」といった(よくある)うたい文句は、はてなは言っていない(「使用できます」と書かれている)ので、SSLが有効に機能することが、はてなの仕様であるわけではないようだ。つまり、SSLが機能していなくても、直ちにそれが脆弱性であるということにはならない。
そこで書いてしまうのだが、はっきり言って、はてなの住所登録画面はSSLで保護されているとは言えない。以下の種類の問題点が存在する。
SSLを使うというのは、通信路上でパケット盗聴される可能性を想定して、盗聴されても安全なようにすることが目的である。しかし、はてなでは、ダイアリーやアンテナ等のサービスでHTTP通信は暗号化されておらず、ログイン状態を維持するためのセッション追跡用IDが、cookieとしてブラウザからサーバに常に送信されている。
つまり、パケット盗聴ができる状況では、cookieに書かれたセッションIDを盗まれるのであるから、それを使ってセッションハイジャックができてしまうということである。
そして、はてなでは、セッションさえ乗っ取れば「https://www.hatena.ne.jp/sslregister?mode=change」にアクセスするだけで、そのユーザの登録情報を閲覧することができる。
入力されるパスワードそのものは、たしかに暗号通信によって保護される状態にあるが、それは、「ベニヤ板の鍵」を使うべきサービスにおいて「金の鍵」を使ってしまうようなユーザを保護する役割にしかなっていない。
現在のはてなの登録情報変更画面が、SSLで保護されなければならないものであるかどうかは知らないが、ユーザがそれを希望しているのならば、現在はそれに叶うものになっていないと言える。
このことは既に何人もの人たちによって指摘されていたようだ。
解決策は、cookieを2つ以上使うか、もしくは重要な画面に入る際にはもう一度パスワード入力を必要とするようにすることである。
実は、この問題をかかえているサイトは非常に多く、珍しいことではない。しかし、ネットショップなどのサイトでは、ログイン中の状態を長く継続させることはあまりないのに対して、はてなでは、特にアンテナでは、ほとんどログインしっぱなしの状態でサービスを使うのが普通であると考えられ、セッションハイジャックの被害に遭うリスクは、相対的に高い状態にあるという点が特殊である。
1年半にわたり書いてきたこの日記を、独自ドメインで確保したサーバに移転することにした。移転先は以下である。
http://takagi-hiromitsu.jp/diary/
ちなみに、私が5月にWeb日記を始めるにあたってはてなを選んだ経緯は、まずは自分でシステムを設置しようと思ったが、個人の立場で書くことが重要であるため勤務先の資源を使うことを避け、しかしながら契約している接続プロバイダのWebページサービスではCGIを使えないため、自宅サーバを確保するしかなかった。面倒なのと時間がなかったのでそれを諦め、tdiary.netを使いたかったが募集が終わっていたので、はてなを使うことになった。
と書いていたように、元々、本来は独自ドメインで tDiaryで日記を書きたかった。
こうした日記システムでは、個人的に、リンク元(Referer:)の表示機能が重要と考えてきたが、はてなのシステムは、「コメントを書く」の画面に入らないとリンク元を閲覧できない。そして、「コメントを書く」の画面に入れるようにするには、誰でも(ログインしていない状態でも)コメントを書ける設定にするか、さもなくば、リンク元を見たい人がはてなにユーザ登録するしかない。仮にそこまでしても、閲覧できるリンク元は上位10件までになっている。そのほかにも、リンク元表示まわりには、個人的に不満足なところが多数あり、tDiaryを使いたいという思いは、ずっと続いていた。
しかし、毎日追われるようにして書いてきたところに、tDiaryのインストールなどの作業をする余裕なぞなかった。
また、リンク元表示のために、コメント機能をログインユーザだけに許可する設定でスタートしたわけであるが、コメント欄で有益な情報を提供してくださる方が現れ、そのうち何人かには、そのコメントを書くためだけにはてなにユーザ登録なさったと思しき方もいらして、正直、そのことを心苦しく感じていた。(しかし、コメント欄への書き込みを不特定多数に開放するつもりはなかった。)
システム改良案の要望を出せばよいという考え方もあるが、当初の、「『はてなへの要望』と書いておけばキーワードリンクされて見てもらえるかもしれないよ」という、中途半端な合議制が性に合わなかった。システム実装上の都合もあるだろうから、あまり無理な提案をするわけにもいかないだろうし、どのくらいスタッフに直接要望を言ってよいものかもよくわからない状態だった。提案をまとめる努力が報われるかの見通しも立たない感じがしたので、もう要望を述べることはしなくなっていた。
はてなに愛着があるわけでもとくになかった。なんでこうも「はてな、はてな」言う人が多いのか理解に苦しむところがあった。
今回、いったん日記をプライベートモードにしたことで、ようやく、独自ドメインでの tDiaryの運用の作業をすると決意することができた。
やっと自分の思うように日記システムをいじれるようになって、嬉しい。
はてなが今回、住所登録を要請してきているのは、実名で書くことを何らためらわない人たちだけからなるコミュニティを目指そうとしているのだろうと、個人的には憶測する。
そのようなコミュニティを目指すのは自由だ。いろいろな性質のコミュニティがあって、時と場合に応じて選べるようになっているのが、理想的なネット社会だと考える。
ただ、途中でコミュニティの方向性を変更することは、困難の伴う作業となることは誰にでも容易に想像がつく。きっと、それを承知の上での舵取りなのだろうと個人的には憶測している。
思い返せば、1年ちょっと前の段階では、はてなは、無料ダイアリーのユーザから寄付金を受け付けていた。私も寄付したことを昨年9月23日の日記に書いている。
その寄付はどう活用されたのか、本当に寄付が必要だったのかもよくわからないのだが、今ではずいぶんとそのときとは状況が変わってきたな、と感じる。
今、私が日記をはてなから独自ドメインへと移転させる理由は、上に書いたとおり元々移転したかっただけだ……というとウソになるだろう。
はてなは少し前から、利用規約の改定と、プライバシーポリシーの策定を進めていた。プライバシーポリシー案に対する意見募集がなされていたので、私も意見を言う、あるいは、そのプライバシーポリシー案をネタにして、プライバシーポリシーのあるべき姿の話でも書こうかと考えた。
しかし、内容を見るとあまりたいしたことが書いてなく、そもそも、はてなにはたいした個人情報を与えていない(住所や電話番号を提供していない)のだから、これを真剣に検討しようというだけの力を注ぐ気がしなかった(優先度が低かった)。
そうして意見を出さないまま期限が過ぎ、プライバシーポリシー案が確定したかと思ったら、その後になって、住所登録必須へとの方針転換である。
これはあまりにもダメすぎる。
住所登録制は以前から検討していたものだとどこかで読んだが、じゃあ、プライバシーポリシー案に対する意見募集はいったいどういうつもりだったのか? ポリシーの重要性を低く見積もらせる状況のままポリシー案に意見を求めるなんて、バカにするのもたいがいにしろ、だ。
なお、移転先はレンタルサーバなので、当然ながら本物の住所、電話番号等を登録している。試用期間が終わって本登録の段階となると、はがきで最終パスワードが送られてくるシステムのようだ。
はてなが脱皮して生まれ変わることを激励したい。私もここを出て生まれ変わる。