最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1235   昨日: 3470

2010年04月01日

Nyzilla Pro版、ストリーミングプレーヤ搭載へ

昨年12月にリリースした「Nyzilla」には、非公開版の「Pro」(プロフェッショナル)バージョンがあり、通常版では先頭1ブロックの48バイトを確認できるだけだったところ、Pro版では、ファイル全体をダウンロードして保存する機能を持ったプロ仕様になっています。

画面キャプチャ
図1: 「Nyzilla Pro」のダウンロード保存機能

もちろんこれは、公衆送信を伴わない真の意味でのダウンロードであり、ファイル共有ではありません。しかも、Nyzillaの本来の機能により、既にファイルを保持して公衆送信している相手に接続して、そこから直接コピーして入手するものなので、通常のWinnyを使って入手する場合の「複製を増やしてしまいかねない」といった懸念を払拭できるという、まさにプロ仕様になっています。

昨年12月の時点では、いかなるファイルもこの方法で適法にファイル内容の確認ができました。ところが、今年1月1日の改正著作権法の施行により、映画と音楽については、内容確認を適法に実施することが困難になってしまいました。

この問題については、2007年11月に「私的録音録画小委員会中間整理に対する意見」としてパブリックコメントを提出しています。

概要

正当な目的での私的複製が違法となることを避けるために、複製する行為を違法とするのではなく、複製した著作物を「再生」する行為(「録音録画」であれば視聴*1する行為)を違法とするか、あるいは、当該著作物を「再生」する目的(「録音録画」であれば視聴する目的)で複製する行為を違法とするべきである。

説明

(略)本件私的録音録画小委員会中間整理の打ち出した著作権法見直し案に従って第30条が改正された場合、P2Pネットワークから情を知ってファイルをダウンロードすることが違法とされることから、ウイルス発見の調査を適法に行うことが不可能となるおそれがあると考える。(一部のP2Pネットワークにおいては、その流通するファイルの大半が違法に送信可能化されているものと指摘されているので、そこからファイルを無作為に入手する行為が「情を知って」複製する行為とみなされてしまう。)

私的録音録画小委員会中間整理に対する意見, 2007年11月15日の日記

この懸念は、私の特殊な杞憂だったわけではありません。2007年12月28日の「私的録音録画小委員会中間整理に関する意見募集の結果について」によると、ウイルス解析を生業としているプロの方からも、同様の懸念を表明する意見が提出されていたのです。

私は「反対」です。

私はマルウェア(コンピュータウイルス・トロージャンなど)の調査と解析を行う仕事に従事しています。マルウェアの中には

1.違法に公開されたコンテンツに偽装しているもの
2.違法に公開されたコンテンツと一体で公開されているもの

があります。私はそのようなマルウェアもダウンロードして解析しています。

前者(1)の場合に対象となるマルウェアを入手するために、本当に違法に公開されたコンテンツかもしれないファイルをダウンロードする必要があります。

後者(2)の場合、違法に公開されたコンテンツであることを承知の上でダウンロードしなければなりません。

違法に公開されたコンテンツのダウンロードが違法化されれば、このようなマルウェアに対する調査が困難になります。

マルウェアの解析は一刻を争そうものであり、著作権者の許諾を求めたり何らかの手続きを行っていては被害が拡大してしまう可能性があります。

(略)違法にコンテンツを公開する人とダウンロードする人、それに著作権者という3者の存在しか想定されていないように思えます。(略)

私的録音録画小委員会中間整理に関する意見募集の結果について - 違法録音録画物、違法サイトからの私的録音録画, p.179, 「個人」からの意見

これらの懸念への回答が提示されることもなく、改正法は成立し、施行されています。

このままでは、ウイルスの調査に限らず、P2P型ファイル共有の実態が一般世間から隔絶され、見えなくなくなってしまい、社会の危険は増すばかりだと心配です。

そこで、私は本日4月1日、Nyzilla Proにストリーミングプレーヤ機能を搭載することを決意しました。

画面キャプチャ
図2: 「Nyzilla Pro Streaming Player」の想像図

Nyzilla Proストリーミングプレーヤでは、Winnyプロトコルのコマンド21でデータブロック(64キロバイト)を受信したとき、データを(ファイルに書き出すことなく)そのままメディアプレーヤコンポーネントに渡して、随時再生するというものです。プレーヤは巻き戻しもできず、受信したデータは随時消滅していきます。

つまり、このプレーヤによる再生は、改正著作権法で問題とされている「複製」にはあたらず、完全に適法な実態調査が可能となると期待できます。

関連

*1 パブリックコメント提出時には、ここを「試聴」と書き間違えていた。ここで訂正。

本日のリンク元 TrackBacks(100)

2010年04月03日

ウィルコムから回答「契約者固有IDは弊社にとって個人情報」

契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。

Date: 2010/02/18 06:52:07
Subject: 個人情報保護と公式サイト掲載基準についての公開質問

WILLCOMの個人情報保護方針についてお尋ねします。

http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html
の説明によれば、

> 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに
> は個体識別情報を送出は行っておりません。

とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査
基準は公式サイト掲載基準と同等」とあります。

そこで「公式サイト掲載基準」
http://www.willcom-inc.com/ja/service/contents_service/create/publish/index.html
を参照してみますと、以下の条件が掲げられています。

> ■ 個人情報の取り扱いについて
> ・「個人情報の保護に関する法律」に従い、コンテンツ提供会社が責任をもっ
> て管理すること

これを踏まえてお尋ねしたいのですが、「個体識別情報(UID)」は、個人情報
保護法における個人情報に該当するのでしょうか。

つまり、「公式サイト掲載基準」を満たして申請が受理され、「個体識別情報
(UID)」の送出が開始された場合、サイト側で受信する「個体識別情報(UID)」
は、個人情報保護法における個人情報として扱わなければならないという意味
でしょうか。

以上の点、お尋ねします。

これに対する回答を、3月18日に頂いた。回答の内容は以下のものであった。

■弊社回答

ウィルコムが送出する個体識別情報(UID)そのものからは特定の個人を識別できませ
ん。
しかし、弊社が管理している個体識別情報(UID)がどの契約者に割り振られているか
に関する情報(以下「照合情報」といいます)と照合することにより、
個体識別情報(UID)から特定の個人を識別することができます。
このため、照合情報を管理している弊社にとって、個体識別情報(UID)は、個人情報
保護法における個人情報に該当する
と解しております。

しかし、サイトの運営者であるコンテンツプロバイダー様(以下「CP」といいま
す。)は、照合情報を有していないため、
CP側で受信する個体識別情報(UID)から特定の個人を識別することができません。
このため、CPにとって、個体識別情報(UID)は、個人情報保護法における個人情報に
は該当しない
と解しております。

なお、個体識別情報(UID)は、弊社にとっては個人情報保護法における個人情報であ
ることから、CPに対しても、個人情報保護法に従った慎重な取扱いを求めています

これは、NTTドコモとは違った見解になっている。NTTドコモは、iモードIDは個人情報保護法のいう個人情報には該当しないという立場を明らかにしている。

  • ドコモ、携帯電話の「識別番号」・コンテンツ会社に通知, 日本経済新聞, 2008年3月30日朝刊

    ドコモがコンテンツ会社に情報提供するのは、携帯の電話番号ごとに付与される「iモードID」と呼ばれる識別番号。電話番号とは異なる英数字の組み合わせで構成。「氏名やメールアドレスは含まれておらず、個人情報開示には当たらない」(ドコモ)という

一方、7年前に旧ツーカーセルラー東海(現KDDI)に問い合わせて得た回答*1は、以下のものであった。

  • ツーカーセルラー東海から回答書がきた, 2003年8月9日の日記

    サブスクライバーIDは、モバイルインターネットをより快適にご利用いただけるよう、お客様の利便性を高めることを第一の目的として提供してきたものです。

    それ自体は、単なる文字、数字及び記号の羅列であって、それによって個人を特定できる情報ではありませんので、コンテンツプロバイダー(以下「CP」)への提供自体に問題はないと考えております。

    それを取得したCPが個人情報と結びつける等、CP側の管理方法によっては、相対的なものとして個人を特定できる情報になり得ることは認識しておりますが、この場合、当該CPがその収集した個人情報に対する管理責任を果たすべきだと考えております。

    しかしながら、ご指摘のような悪意のCPが違法に当該情報を利用する事態も想定されることから、ユーザ保護の観点からは、その利便性とのバランスも勘案しつつ対策を検討していく必要があると感じております。

    EZwebサーバーを実際に管理・運営しているKDDIにおいてもご指摘の事象については認識しており、その対策について検討を行っていると聞いております。状況ご斟酌頂き、何卒ご理解賜りますよう宜しくお願いいたします。

ツーカーの回答を今改めて読みなおしてみると、個人情報に該当しないとまでは言っておらず、もしかして、ウィルコムと同様の見解がありながら回答したものだろうかとも思えてくるが、それはともかくとして、もし、ウィルコムのように、契約者固有IDはキャリアにとって個人情報に該当するという法解釈を採用すると、NTTドコモやKDDIらは、個人情報を任意のWebサイトに自動送信していることになり、個人情報保護法違反の疑い*2が出てくる。

なお、ウィルコムの「弊社にとって個人情報」という考え方は、一昨年10月の越後湯沢ワークショップで「日本のインターネットが終了する日」の講演をした際に、会場から新潟大学の鈴木正朝教授より頂いたご指摘、「キャリアにとっては個人情報である」という見解と同じである。つまり、NTTドコモはiモードIDと契約者情報の対応表を持っているわけで、iモードIDはNTTドコモにとっては、個人情報保護法のいう「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当するというわけだ。

また、先日、3月13日に書いた日記に対し、明治大学の夏井高人教授より、「「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り」というご指摘を頂いており、次のように書かれている。

この記事を読んでいたら,「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解が存在することを知った。(略)

まず,NTTドコモは,iモードIDを他の情報と容易に照合して個人識別をすることが可能なので,iモードIDは,NTTドコモにとっては明らかに個人情報に該当する。これ以外の見解は成立し得ない。(略)

「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り, Cyberlaw サイバー法ブログ, 2010年3月13日

個人情報に該当するとみなすべきなのか、該当しないとみなすべきなのか。私はどちらも支持しない。

この問題がやっかいなのは、技術的実現手段の多様性を踏まえないで、単なる現行法の法解釈論で処理しようとすると、結局、守られるべきものが守られない結論に陥ってしまう点にある。

もし、「通信キャリアにとっては個人情報」という立場をそのまま採用すると、IPアドレスをアクセス先に伝えることも個人情報保護法違反になってしまい*3、それではインターネットのシステムが立ち行かなくなってしまうので、法務上の対応として何らかの利用者との契約による回避策をとることになると考えられるが、それが認められるなら、同様に契約者固有IDについても認められることになってしまい、単に消費者をよくわからないままに同意させて、法律上は解決したことにするなどという結果に終わるだろう。

不利益がいつ生ずるかの実際的観点からすれば、問題は、IDを誰かに渡すときに、渡した相手が個人識別性を持ち得るか否かにあるのであって、IDを渡す側にとって個人情報に該当し得るかどうかはどうでもよい。それなのに、現行の個人情報保護法を愚直に解釈すると、渡す側の個人識別性で判断することになるのだという。これは法の不備とみなすべき事態であって、どちらの解釈も容認するべきではない。

実際、夏井先生から頂いたコメントでは、現行法の解釈では以下のケースが個人情報に該当しないという。

しかし,NTTドコモ以外の事業者がiモードIDを何らかの識別子として利用している場合であっても,他の情報と容易に照合して個人識別できない場合には,iモードIDは,そのような事業者にとっては単なる識別子なのであって個人情報ではない。

「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り, Cyberlaw サイバー法ブログ, 2010年3月13日

そんなことでは、私たちのプライバシーは蔑ろにされてしまう。つまり、iモードIDに紐付けて大量に蓄積された一人一人の誰かの嗜好情報が、個人情報に該当しないとなれば、売買自由ということになってしまう*4のであり、これは法の不備である。

なすべきことは、技術的実現手法を踏まえて、プライバシーリスクの高いIDと低いIDを分類した上で、その法的な扱いを区別することである。

これについては、今後ともいろいろな方法で取り組んでいきたい。

ところで、「弊社にとって個人情報」との見解を示した、ウィルコムの行いはどうなのか。

ウィルコムの場合、UIDの送信先が、公式サイト(およびそれに準ずる者)に限られていることから、「顧客はそれについて黙示の同意をしている」という扱いなのだろうか。

たしかに、ケータイの公式サイトでは、ユーザ登録をしていないのに初めからユーザが識別されるものであるわけで、何らかのIDが自動送信されていることは必然であり、黙示の同意があると言えてしまうのかもしれない。*5

しかし、顧客には、どこの事業者が公式サイトを運営しているのかは知らされていない。どの事業者を公式サイトと認定するかは、ウィルコムが勝手に決めていて、顧客の与り知らぬところで決定されている。そのような状況で、はたして、ウィルコムが勝手に決めている公式サイトのそれぞれに個人情報を自動送信することについて、黙示の同意があると言えるだろうか?

しかも、ウィルコムが公開している「公式サイト認定基準」は、あくまでも基準であって、ずいぶんとおおざっぱな記述になっている。

キャリアが公式サイトを認定するとき、キャリア事業者は、公式サイト運営事業者と何らかの契約をするのではないかと思われるが、その契約内容しだいでは、人々は個人情報送信について同意しないことだってあり得ると思うがどうか。

ウィルコムの場合、どんな条件の契約(守秘義務など)が交わされているのかが公開されていないので、私たちは判断することができないでいる。それなのに、「黙示の同意がある」と言えるのだろうか?

今回の問い合わせに対し、ウィルコムは、「CPに対しても、個人情報保護法に従った慎重な取扱いを求めています」と回答した。しかし、「CPにおいては個人情報にはあたらない」というのであるから、CP事業者に個人情報保護法は適用されないわけで、ウィルコムが「個人情報保護法に従った慎重な取扱いを求めています」と言ったところで、それが契約に基づいた「求め」であるのか、それとも単なる希望的お願いにすぎないものなのか、そういったことが不明だ。

このあたりの疑問を解消するため、引き続きウィルコム社に対して問い合わせを続けていきたい。

*1 当時、ツーカーセルラー東海は、EZwebに関するこの質問を、KDDIと相談のうえで回答してきている。

*2 実際、2001年の「次世代移動体通信システム上のビジネスモデルに関する研究会」報告書では、以下のように「原則違法」と書かれていた。

「個人情報の保護に関する法律案」の下では、ユーザの個人情報を、その「同意」を得ずに通信キャリアがコンテンツプロバイダ等に提供することは原則違法である。ユーザIDは、同法律案の個人情報に該当することから、ユーザの「同意」なしにはコンテンツプロバイダ等に提供できない性格の情報である。

*3 ISPは、IPアドレスと契約者情報の対応表を持っているので、ISPにとっては個人情報ということになるから。

*4 このことについては、「行動ターゲティング広告はどこまで許されるのか」の2ページ目にも書いている。

*5 ちなみに、NTTドコモが、iモードで公式サイトにNULLGWDOCOMOでID送信を始めた1999年の時点では、個人情報保護法はまだ存在していなかった。

本日のリンク元 TrackBacks(7)

2010年04月05日

日経新聞電子版の望みを叶えるGreasemonkeyスクリプト

ということで、日経新聞社が「リンクポリシー」なるもの*1において望んでいることを、利用者側で実現してみせるGreasemonkeyスクリプトを書いてみた。

// ==UserScript==
// @name           NIKKEI Web 0.0
// @namespace      http://takagi-hiromitsu.jp/
// @description    日経新聞電子版閲覧時の訴訟リスクを回避する
// @include        http://*.nikkei.com/*
// @include        http://*.nikkei.co.jp/*
// @exclude        http://it.nikkei.co.jp/* 
// ==/UserScript==
if (location.search.indexOf("nikkei") >= 0) return;
if (location.pathname.indexOf("nikkei") >= 0) return;

if (parent.location.pathname != "/") {
  location.href = location.protocol + "//" + location.host + "/";
} else {
  if (parent == this) {
    var fs = document.createElement("frameset");
    fs.cols = "100%";
    var f = document.createElement("frame");
    f.src = "/?";
    fs.appendChild(f);
    document.body = fs;
  } else {
    var allLinks = document.evaluate('//a[@href]', document, null,
      XPathResult.UNORDERED_NODE_SNAPSHOT_TYPE, null);
    for (i = 0; i < allLinks.snapshotLength; i++) {
      var link = allLinks.snapshotItem(i);
      if (link.hostname != parent.location.hostname) {
        link.target = "_top";
      }
    }
  }
}

何者かが個別記事に言及したリンクを、万が一踏んでしまった場合でも、ちゃんとトップページへリダイレクトしてくれる。

加えて、日経新聞電子版の中でリンクを辿って個別の記事を閲覧しても、ブラウザのアドレスバーはトップページのままになる。下の図のように、社説を読んでいるときもアドレスは http://www.nikkei.com/ だ。

画面キャプチャ

そのため、万が一誤って社説とかをブックマークしそうになっても、下の図のように、トップページのブックマークになる。

画面キャプチャ

このスクリプトの完成度はいまひとつ不完全だが、コンセプトとしてはこんな感じ。個別ページへのリンクを禁止することがどのようなことなのかを体感できる。

サーバ側でならもっと完全に実現できるので、日経新聞電子版はこれを実装してはどうか。

*1 そもそも、言及される側が「ポリシー」とか言うこと自体からして意味不明。

本日のリンク元 TrackBacks(5)

2010年04月09日

無断リンク禁止のむかし話

ここの日記は、3年ちょっと前までたびたび無断リンク禁止条項の話題を取り上げていたが、その後は取りあげなくなっていた。それは、もはや決着がついており、残るラスボスは日経新聞と読売新聞と電通だけであり、それらが他に伝染することはもはやなかろうと思い、放置していたからだった。

今日、久しぶりに古いメールボックスを開いてみたところ、2006年9月に、読売新聞東京本社知的財産担当に対して、問い合わせしたときの文書が出てきたので、ここに公開しておく。

From: 高木浩光
Subject: 「リンクポリシー」について
Date: 2006年9月24日 18:07:37 JST

http://www.yomiuri.co.jp/policy/link/ の「リンクポリシー」を拝見して、
以下の通り問い合わせします。

個人でブログを書いている者です。日ごろから、新聞社のサイトに掲載された
時事のニュースを参照、引用することによって、自身の主張を補強する材料と
して活用させていただいているところです。

ところが、御社の「リンクポリシー」http://www.yomiuri.co.jp/policy/link/
には、次の通り書かれています。

> 個別記事へのリンクは原則としてお断りしております。特別な理由がある場合
> は、その理由を付して読売新聞社の了承を得てください。

すなわち、私がブログから読売新聞社Webサイト上の記事を参照する行為は、
「特別な理由がある場合」に当たるのでしょうか。

はい(特別な理由がある場合に該当する)または、いいえ(該当しない)でご
回答ください。

-- 
高木 浩光@自宅

From: 読売新聞 知財担当 <〓〓〓〓〓〓〓@yomiuri.com>
Subject: Re: 「リンクポリシー」について(高木浩光様)
Date: 2006年9月26日 16:24:39 JST

高木浩光 様

ご連絡ありがとうございます。読売新聞の知的財産担当です。

1.個別記事へのリンクにつきましては、その都度ご申請頂き、検討のうえ回答しております。

従いまして、本メールをもっての回答は致しかねます。
より具体的なお問い合わせを頂戴致しましたら、検討のうえお返事差し
上げます。


なお個別記事へのリンクを原則としてお断りしている理由としては、

・著作権法、不正競争防止法等に抵触する恐れがあること
・記事によっては、掲載日によってURLが変更され、肝心の記事ページ
に辿りつけない事態がしばしば起こること

などを考慮しております。


2.引用につきましては、著作権法では、次のように規定されております。

「公表された著作物は、引用して利用することができる。この場合におい
て、その引用は、公正な慣行に合致するものであり、かつ、報道、批評、
研究その他の引用の目的上正当な範囲内で行われるものでなければならない」

そして、次の3つの条件を満たす必要がある、とされています。

・質的にも量的にも、引用する側の本文が「主」、引用部分が「従」という
関係であること。「読売新聞に次のような記事があった」と書いて、あと
はその記事を丸写しにしたものや、記事にごく短いコメントをつけただけ
のものは引用とはいえません。

・引用箇所が明瞭であること。引用部分を『 』で括るなど、本文と引用部
分が明らかに区別できること。

・「出所の明示」(○○年○月○日付読売新聞)をすること。

上記3条件を満たした引用の場合、弊社宛の申請手続きは必要ありません。


その他、弊社の著作権に関する詳しい情報は、「Yomiuri On Line」の著
作権の項目(下記ページ)をお読み下さい。
(http://www.yomiuri.co.jp/policy/copyright/)

今後とも読売新聞をよろしくお願いいたします。


*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
  読売新聞東京本社
 知的財産担当
  <〓〓〓〓〓〓〓@yomiuri.com>
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

From: 高木浩光
Subject: Re: 「リンクポリシー」について(高木浩光様)
Date: 2006年9月26日 16:49:10 JST

引用についてなど質問していないのですが、何を言っているのですか?
ろくに質問を読まずにこういう回答をするのですか。
-- 
高木 浩光@自宅

From: 高木浩光
Subject: Re: 「リンクポリシー」について(高木浩光様)
Date: 2006年9月26日 17:25:10 JST

On Tue, 26 Sep 2006 16:24:39 +0900 
読売新聞 知財担当 <〓〓〓〓〓〓〓@yomiuri.com> wrote:
> 1.個別記事へのリンクにつきましては、その都度ご申請頂き、検討のうえ
> 回答しております。
> 従いまして、本メールをもっての回答は致しかねます。

ですから、以下のとおり具体的に状況を挙げて尋ねているのに、いったい何が
わからないというのですか?

> 個人でブログを書いている者です。日ごろから、新聞社のサイトに掲載された
> 時事のニュースを参照、引用することによって、自身の主張を補強する材料と
> して活用させていただいているところです。
....
> すなわち、私がブログから読売新聞社Webサイト上の記事を参照する行為は、
> 「特別な理由がある場合」に当たるのでしょうか。

-- 
高木 浩光@自宅

From: 読売新聞 知財担当 <〓〓〓〓〓〓〓@yomiuri.com>
Subject: Re: 「リンクポリシー」について◆聞睫攅生様)
Date: 2006年9月27日 17:49:30 JST

高木浩光 様

読売新聞の知的財産担当です。

恐縮ですが、高木様のブログのURLと、リンクを希望される記事ページ
をお知らせ下さい。

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
  読売新聞東京本社
 知的財産担当
  <〓〓〓〓〓〓〓@yomiuri.com>
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

From: 高木浩光
Subject: Re: 「リンクポリシー」について◆聞睫攅生様)
Date: 2006年9月27日 18:22:06 JST

On Wed, 27 Sep 2006 17:49:30 +0900 
<〓〓〓〓〓〓〓@yomiuri.com> wrote:
> 恐縮ですが、高木様のブログのURLと、リンクを希望される記事ページ
> をお知らせ下さい。

それは、ブログの内容次第では許可しないという意味でしょうか?

また、当初より私がお尋ねしている質問は、ブログから記事へリンクする場合
というのが、「「特別な理由がある場合」に当たるのでしょうか?」という問
いです。

今回頂いたメールのように「ブログのURLを示せ」とおっしゃるということは、
以下の質問に対して、「特別な理由がある場合」に該当するという回答だとい
うことでしょうか?

> > 個人でブログを書いている者です。日ごろから、新聞社のサイトに掲載された
> > 時事のニュースを参照、引用することによって、自身の主張を補強する材料と
> > して活用させていただいているところです。
....
> > すなわち、私がブログから読売新聞社Webサイト上の記事を参照する行為は、
> > 「特別な理由がある場合」に当たるのでしょうか。

-- 
高木 浩光@自宅

From: 読売新聞 知財担当 <〓〓〓〓〓〓〓@yomiuri.com>
Subject: Re: 「リンクポリシー」について(高木浩光様)
Date: 2006年9月28日 14:11:07 JST

高木浩光様

再度のお問合せありがとうございます。

まず、「ブログから記事へリンクする場合というのが『特別な理由がある
場合』に当たるのでしょうか?」とのご質問ですが、「『ブログから記事へ
リンクする場合』だけでは判断できません」というのが弊社の回答になり
ます。

また「ブログの内容次第では許可しないという意味でしょうか?」というご
質問についてですが、ブログに書かれている内容を基に判断することは
いたしません。

個別記事へのリンクにつきましては、リンク元のリンクの扱い方を拝見さ
せていただいた上で、読まれる方がリンク元と弊社記事ページとの関係
や弊社の運用について混乱しないか、悪意を持ったリンクではないか等
について総合的かつ個別に判断させていただいています。

最初にいただいたメールでは、一般論をご質問されているのか、個別記
事へのリンクをご希望されているのか判断しかねたため、まず一般的な
リンク及び引用に関する弊社の考え方をご説明いたしました。

すでに高木様から「日ごろから、新聞社のサイトに掲載された時事のニ
ュースを参照、引用することによって、自身の主張を補強する材料として
活用」されている旨ご連絡いただいています。弊社としては、高木様が個
別記事へのリンクを希望されるのであれば、これが高木様の「特別な理
由」であり、希望される記事ページは「時事のニュース」であると理解して
います。したがいまして、これらの個別記事へのリンクをご希望される場
合には、高木様のブログのURLをお知らせください。また、「時事のニュ
ース」以外の個別記事へのリンクもご希望される場合には、どのようなペ
ージをご希望かをお知らせください。ご連絡いただいた内容と高木様の
ブログを拝見させていただいた上で許諾するかどうかの判断をさせてい
ただきます。

以上、ご賢察の上、ご理解を賜りたいと存じます。

今後とも読売新聞をよろしくお願いいたします。


*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
  読売新聞東京本社
 知的財産担当
  <〓〓〓〓〓〓〓@yomiuri.com>
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

From: 高木浩光
Subject: Re: 「リンクポリシー」について(高木浩光様)
Date: 	2006年10月19日 11:30:00 JST

On Thu, 28 Sep 2006 14:11:07 +0900 
読売新聞 知財担当 <〓〓〓〓〓〓〓@yomiuri.com> wrote:
> まず、「ブログから記事へリンクする場合というのが『特別な理由がある
> 場合』に当たるのでしょうか?」とのご質問ですが、「『ブログから記事へ
> リンクする場合』だけでは判断できません」というのが弊社の回答になり
> ます。





> すでに高木様から「日ごろから、新聞社のサイトに掲載された時事のニ
> ュースを参照、引用することによって、自身の主張を補強する材料として
> 活用」されている旨ご連絡いただいています。弊社としては、高木様が個
> 別記事へのリンクを希望されるのであれば、これが高木様の「特別な理
> 由」であり、希望される記事ページは「時事のニュース」であると理解して
> います。したがいまして、これらの個別記事へのリンクをご希望される場
> 合には、高木様のブログのURLをお知らせください。また、「時事のニュ
> ース」以外の個別記事へのリンクもご希望される場合には、どのようなペ
> ージをご希望かをお知らせください。ご連絡いただいた内容と高木様の
> ブログを拝見させていただいた上で許諾するかどうかの判断をさせてい
> ただきます。


-- 
高木 浩光@自宅

最後のメールは、下書きフォルダに入っていたもので、書きかけたものの、出すことはなく、それ以降放置していた。

読売新聞の「リンクポリシー」なるページの「個別記事へのリンクは原則としてお断りしております。特別な理由がある場合は、その理由を付して読売新聞社の了承を得てください」という記述は現在も変わっていない。

当時のこの回答からすると、ブログで読売新聞の報道を活用する際には、「ブログに書かれている内容を基に判断することはない」そうだけれども、それでもなお事前の許諾を得る必要があるのだという。

誰か体力に自信のある人は、上のやりとりの続きを問い合わせてみてはどうだろう。

私は、日ごろ、読売新聞はもちろんのこと、日経新聞、その他の新聞も、記者さんから勤務先で取材を受けることが多く、新聞こそが*1社会の情報セキュリティ向上のために不可欠な役割を果たしていると信じており、新聞記事の内容がもっと広く必要な人々のところに届くことを願ってやまない。

関連

*1 ネット系のなんちゃってメディアではなく。

本日のリンク元 TrackBacks(66)

2010年04月11日

ユニークIDがあれば認証ができるという幻想

2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。

各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は、会員登録が制限されているサイトでの事例である。

日経就職ナビ」は、Wikipediaエントリにあるように由緒ある著名サイトであり、しっかりした体制で製作されていると思われる*1ところだが、このサイトが、「モバイル版」で「かんたんログイン」を提供していた。

簡単ログインを設定すると、次回のアクセスより会員ID・パスワードの入力なしでサイトへログインすることができます。(略)

携帯電話固有の情報(電話番号ではありません)を利用するため、設定しても別の携帯電話からログインされる心配はありません

日経就職ナビモバイル版の使い方, 日経就職ナビ

「携帯電話固有の情報を利用する」から「心配ありません」という。

「別の携帯電話から」はそうかもしれないが、PCからはどうか。以下は、今年2月の時点で、日経就職ナビモバイル版のサイトに、一般のインターネット回線経由でアクセスしたときの様子である。

画面キャプチャ
図2: 日経就職ナビモバイル版サイトをFirefoxでアクセスした様子

ここでは、Firefoxの設定を変更して、User-Agentとして au携帯電話のUser-Agent文字列が送出されるようにしている。このように、ケータイ向けの画面が現れている。

このサイトの会員登録規約には「会員とは、就職活動を行う2011年3月以降卒業予定の大学生・大学院生・短大生・専門学校生が(略)に会員登録を申し込み、日経HRがこれを承認した方を指します。」とあるので、私は会員登録することができない。

そこで、会員登録しないまま「簡単ログイン」ボタンを押してみた。すると次の図のようになった。

画面キャプチャ
図3: 「簡単ログイン」ボタンを押したときの様子

「端末を特定する情報が取得できませんでした」「端末の設定を確認してください」と出ている。

ここで、Firefoxのアドオンを使って、リクエストヘッダに「X-Up-Subno」として私のau携帯電話の契約者固有ID(EZ番号)を付与するようにし、同じように「簡単ログイン」ボタンを押したところ、次の図の画面になった。

画面キャプチャ
図4: リクエストヘッダに契約者固有IDを付けて「簡単ログイン」ボタンを押した様子

「簡単ログイン設定がされていません」と出ている。つまり、このサイトは、通常のインターネット回線経由で送信された私の契約者固有IDを取得して、それがデータベースに登録されていないことを調べたということだ。

この時点で、なりすましログインが可能な状態にあると推定して、IPAの脆弱性届出窓口に届け出た。もっとも、この挙動から必ずなりすましができるとまでは言えず、たとえば、このサイトの造りが、取得した契約者固有IDがデータベースに登録されていることを確認し(てユーザを特定し)た後の段階に入ってからようやく送信元のIPアドレスを確認するように書かれてる可能性が考えられなくもないが、まあ普通はそんな変態的なコーディングはしないだろう。

この挙動について、2月23日に届け出たところ、3月15日に取り扱いを開始したとの連絡があり、3月25日に修正が完了したとの連絡があった。現在では、日経就職ナビのモバイル版サイトには、通常のインターネット回線経由ではアクセスできなくなっている。ファイアウォールで制御されるようになったのか、サーバへのTCP接続自体ができないようになった。これほどの重要サイトであってもこういう状況であったことに慄く。

それにしても、どうしてこういうことをやってしまうのか。昨年の8月に別の(はてなや日経就職ナビとは別の)あるサイトにこの問題を見つけて、サイト運営者に直接指摘を送ったとき、先方から来た最初の返事はこうだった。

これは、現実的には運営者側に悪意があれば、何でも出来てしまうと言う認識でよろしいでしょうか? その他の危険性が考えられるのであれば、ご指摘頂ければと思います。

運営者に悪意がある場合だけの問題と思われたようで、ようするに、ケータイのIDが誰でも取得できるものという認識が欠けている様子だった。他の人のユニークIDはわからないはずだから大丈夫と思ってしまうらしい。

このような、ユニークIDで認証ができると思ってしまう幻想は、世界的に古くから知られている問題で、たとえば、国民番号制に伴って生じ得る弊害の一つとして知られている。

つまり、国民番号の入力によって本人確認とするWebサイトを考えたとき、最初のうちはまあまあ機能するだろうが、そういうWebサイトが増えていくにつれて、しだいに本人確認として機能しなくなっていく。

実際、韓国では、Webサイトで住民登録番号の入力が必要となっているところが多いらしいが、もはや本人確認としては破綻していて、Wikipediaによると、2015年までに禁止する方針が明らかにされているそうだ。

住民登録番号の入力が韓国の多くのサイトで求められている中で、他人の住民登録番号を盗用するケースが目立ち、もはや、本人確認の手段として機能しづらい状況にある。そのため政府は、2015年までにインターネット上で住民登録番号による本人確認手続きを完全に禁止する方針を明らかにした。

住民登録番号 - Wikipedia

その点、日本は、そういう危険をちゃんと想定して、住民基本台帳法第30条の43(住民票コードの利用制限等)で、「市町村長等以外の者は、何人も、(略)住民票コードを告知することを求めてはならない。」と定めている。愚かな事業者がユニークIDの入力を認証代わりに使ってしまう危険を、国が防いでいる。

IDだけで認証にならないのは真っ当な技術者からすれば肌感覚でわかる当然のことで、だからこそ、様々なセキュアプロトコルが開発されて工夫されてきた歴史がある。PKIを使った方法では、公開鍵暗号の力を借りて、クライアント側の秘密情報を送信せずに認証するプロトコルが実現されている(VPNやSSLのクライアント認証等)。

PKIに限らず、パスワードによる認証だってそれなりに妥当なものであり、これは、もし各サイトに同じIDとパスワードを登録してしまえば、上の住民登録番号に近い事態になってしまうわけだが、それは利用者の責任であるし、信用できるサイトとできないサイトで分けてパスワードを登録することで、それなり妥当なところに落ち着いている。

それに対しケータイWebが決定的に違うのは、ユニークIDが常に送信される点にある。パスワードなら、利用者が意識して送信先を選ぶことになるが、ケータイのユニークIDは、本人が制御できないところで勝手にどこにでも送ってしまうわけで、それではまったく本人確認の役割を果たさない。

IPアドレスで制限すればいいなどとセンスのない技術者は言うが、それについてはこれまでにも書いてきた通りだし、今後も新たに書く予定がある。

ケータイ業者では、その抱えている技術者までもがその独自の世界で閉じこもって、技術的センスが狂わされているのではないかという疑いについては、以前にも示した。

そのときは流儀の違いだなどという反論も出ていたが、これはそれ以前の技術センスの問題である。これがわからない技術者はヤバい。

ちょうど先日も、Twitterでこんな発言をする人がいた。

画面キャプチャ
図5: 「ISPも認証情報を提供せよ」とするTwitter発言

これは、ケータイ脳業者とか言われそうという声も出ていたように、ケータイ世界のようにインターネットもなってくれという願望の表れなのだろう。

これは危険思想であり、周りのセンスある技術者が諭していかないといけない。同種のことはしばしば、通信レイヤ屋の人々が言い出すことがあって、やっかいになっている。たとえば、総務省の「通信プラットフォーム研究会」の2008年10月のパブリックコメント募集で公開された報告書案には、次の記述があった。

(b)移動通信分野の認証基盤と他の認証基盤との相互運用性の確保

携帯端末は日常生活において最も身近な情報端末であり、かつ、我が国の携帯端末は高度な機能を搭載したハイエンド端末となっている。そこで、こうした携帯端末について、固定通信網、移動通信網のいずれかを問わず、シームレスネットワークにおいてコンテンツ・アプリケーション等を利用する際の中心的な端末と位置付けることも可能である。

そのため、移動通信分野における認証基盤について固定系・移動系を問わず他の認証基盤との相互運用性を確保することは、我が国の強みをいかした新規性の高い事業を生み出す可能性があり、積極的に推進していくことが望ましい。

例えば、今後はIPv4アドレスが2011年頃に枯渇するものと見込まれることから、インターネットは段階的にIPv6アドレスに移行していくが、それに併せてIPv6アドレスが各携帯端末にも 付与されれば、従来の電話番号等をベースとしたユーザーIDに替わって、IPv6アドレスを携帯端末の識別子とする新たな移動通信の認証基盤を構築すること等も考えられる

通信プラットフォーム研究会報告書「通信プラットフォームの在り方」案, 総務省, 2008年10月24日

これが典型的な通信レイヤ屋の陥る危険思想で、これに対しては、複数の反対意見が寄せられ、最終報告書ではこの部分を削除する措置がとられている。

  • 「通信プラットフォーム研究会」報告書案に対する意見の募集の結果, 2008年11月28日
  • 報告書案に対する意見の募集の結果及びこれに対する考え方, 2009年1月30日

    意見63
    IPv6アドレスはアクセス先のウェブサイト等に常時通知され、ユーザーが送信の可否を選択できないことから、固定されたIPv6アドレスを認証用IDとして用いることは、セキュリティやプライバシー上問題があり、また、国際標準の動向にも反することとなる。

    考え方63
    以下の記述を削除する。

    「例えば、今後はIPv4アドレスが2011年頃に枯渇するものと見込まれることから、インターネットは段階的にIPv6アドレスに移行していくが、それに併せてIPv6アドレスが各携帯端末にも付与されれば、従来の電話番号等をベースとしたユーザーIDに替わって、IPv6アドレスを携帯端末の識別子とする新たな移動通信の認証基盤を構築すること等も考えられる。」

実はこの「通信プラットフォーム研究会」の最終報告書は侮れない。数々のパブリックコメント提出意見を取り入れ、脚註などに記入されており、プライバシーとセキュリティを両立させる認証方式にしていかなければならないと謳っている。

元の案に書かれていた記述の何が危険思想かというと、ユーザ認証は、アプリケーションが必要としているものなのだから、アプリケーションレイヤで行うべきものであるところ、通信レイヤでもできるからといってそうしてしまうと、通信している限り常に認証されてしまうことになり、つまり、人々の「認証されない自由」が剥奪されるからである。

この種の危険思想は過去にも「安心・安全インターネット推進協議会」の設立趣意書の記述(2003年当時)にも見られ、あちこちの関係者に忠告して事なきを得たという経緯もある。

こうした勘違いが、技術者の意見に耳を傾けないタイプの組織の幹部に出てくると危ない。今年1月のインタビュー記事でも、NTTドコモの辻村清行代表取締役副社長が次のように述べている。

  • 新春インタビュー:新たな10年で変わるモバイルビジネス──NTTドコモ 辻村氏に聞く(後編), ITmedia +D モバイル, 2010年1月3日

    ITmedia まさしくクラウドの世界ですね。そこで重要になる要素は何でしょうか。

    辻村氏(NTTドコモ代表取締役副社長) やはり確実で安全なユーザー認証技術ですね。そこで鍵になるのは、携帯電話の認証情報だと考えています。お客様が1人ずつ持っている回線契約に紐づく形で個人認証を行うのです。携帯電話は究極の個人認証番号を持っており、(その認証情報は)なりすましや不正利用ができません。ここがマルチデバイス時代における携帯電話キャリアの強みになっていくでしょう。

そもそもNTTドコモは、どうやったら「かんたんログイン」が安全になるのかの要件を公表していないのだから、この言い草はなかろう。

同様の発言は、先々週の金曜夜に開かれた、ケータイ評論家のUstream中継の座談会「SIM LOCK Japan ケータイ・ITジャーナリストによる討論会」でも出ていた。

画面キャプチャ
図6: 「サブスクライバIDはなりすましリスクが低い」と語るケータイ評論家の神尾寿(左)

(神尾寿)
コンテンツプロバイダで言うと、公式やっているかどうかというのも当然ありますけども、あともう一つ、ケータイ系のコンテンツっていうのは、サブスクライバID、まあいわゆる端末識別情報と、あとキャリアさんの課金を使っているので、あれに代わるものが今のところ、オープンなインターネットの世界にはないんですね。クレジットカードを日本人は使わないっていうのは、ネットの世界ではもうこれは常識なので、やっぱそれに代わる? ちゃんとそのクレジットカード以外の決済がどうやって整うのか、既にドコモさんとauはやるって、キャリア決済をやるとは言ってますけども、それがどれだけ使いやすいものになるのかだとか。あと、意外と課金に比べると注目されてないんですけども、サブスクライバIDがあることで認証が楽っていう。(一同、うんうん。)しかもね、なりすましリスクが低いっていう*2、セキュリティ上、またユーザビリティ上のプラスもあって、そういうものがじゃあSIMフリーになると、これたぶん、使えなくなる可能性が高くなってくるんで……(別の人が話し始める)

(本田雅一)
たしかにあの、セキュリティ上の問題っていうのはこれたしかにあると思うんですけど、それ以外のことに関しては、ルールが変わったらルールがわかったとこで、また新しくうまく生まれていくものなんじゃないですか。だから、既存のルールがこうだからやっぱり変われないよねっていうのは……、たしかにね、急に変われっていうのは無理ですよ、急に変わるのは難しいかもしれないけども……(別の人が話し始める)

SIM LOCK Japan ケータイ・ITジャーナリストによる討論会, 後半 33分20秒より

あまりにも現状礼賛の発言ばかりする神尾に対し、本田雅一氏が「また新しくうまく生まれていくもの」と遠慮がちに苦言を呈しているが、それでも「セキュリティ上の問題っていうのはこれたしかにある」と、その部分に反論できずにいる体たらくだった。

この様子に対して、視聴者からTwitterで批判の声が飛んでいた。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図7: 「ケータイ・ITジャーナリストによる討論会」に対する視聴者の声 その1

この後、視聴者からの質問に答えるコーナーで、司会の日経コミュニケーション菊池氏が、サブスクライバIDは危ないというTwitterからの声を取りあげた。

(司会:菊池隆裕)
さっきの認証の話で質問が出ていますね。日本のユーザの心理的なものなんでしょうかね、キャリアの携帯の方が安心? なかなかクレジットの方に移っていかない話があって、サブスクライバID、キャリアのIDですよね、そちらの方が受け入れやすい、安全、安全って言いってましたっけ?

(神尾寿)
安全ですね。

(司会:菊池隆裕)
安全というのは誤解があるんじゃないかという質問もあったんですが。認証の仕組み? つまり、KindleでありAppleの仕組みであり、他の認証手段が出てきたというのがこの最近の動きかと思うんですけどね。キャリアじゃなくてもいいんじゃないかという。こういう流れができつつあると思うんですけども、このあたり将来的な見通しというか、

(本田雅一)
技術的にはインターネットの技術なので、べつに、セキュアじゃないかと言ったら、セキュアなものも作ることはできると思うけども、現状、安心して確実に100パーセントコミットできるような仕組みが、やっぱり閉じたキャリアが提供するネットワークということだと思うんです。それがいいかというと、その次に行かないといけないとは思いますけども。

(神尾寿)
認証に関して言うと、確かにキャリアさんが持っている強い武器がやっぱり携帯電話番号なんですよね。携帯電話は確実になりすましのできないツールなので、まあ一時期クローン携帯とか言われましたけども*3、実際あれ、科学的に証明されてはいないと。実際それが事件として事例があるわけでもなくてですね、あのセキュリティの高さっていうのは一つ見るべきところがある。さらにセキュリティだけじゃなくて、同一番号で、しかも本人性確認をしたユーザさんが使っているので、いわゆる本人性認証をすごくしやすいっていう、使い勝手の良さもあるんですね。なので、あの辺が今後キャリアの武器にはなっていくと思います。(略)

(略)

(西田宗千佳)
ただ、そこで一つ問題になるとすれば、たしかに携帯電話のサブスクライバIDっていうのは、非常に良くできた仕組みなんですけども、セキュリティ的に、技術を精査すると、正直な話、ザルなんですね。でも、今の段階で課金してる人とコンテンツを買ったという情報、もしくは物を払ったという情報をつなぎ止める、現実的な手段としては、現状でサブスクライバIDを使った方法が一番優れているということだと思うんですね*4。もしかすると、これはひとつ期待したいところではあるんですけども、ビジネスモデルを組み立てる段階において、ひょっとすると携帯電話のサブスクライバID以外で、課金者と買った人をきちんと結びつける方法ってのが、生まれる可能性がないわけではない。水平分業モデルを議論するときは、そこがすごく重要だと思う。現状で水平の議論というのが、究極的に成り立たないところがあるとすれば、今のところそれが見つかってないからだろうと。それがアメリカだったら、クレジットカードでいいかもしれないけど、ワールドワイドではそういうわけではない。

(神尾寿)
アメリカはソーシャルナンバーがありますよ。

(西田宗千佳)
ソーシャルナンバーって使ってるところありましたっけ?

(木暮祐一)
韓国に国民番号があって、コンテンツの最初の使用のときに入れて、そうすると全部認証されます。

(一同)
…………。
(別の話へ)

SIM LOCK Japan ケータイ・ITジャーナリストによる討論会, 後半 47分33秒より

駄目だこいつら。ケータイ評論家らの周回遅れぶりに慄く。通信プラットフォーム研究会報告書に書かれていることさふまえていない。

このとき、Twitterでは以下の声が出ていた。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図8: 「ケータイ・ITジャーナリストによる討論会」に対する視聴者の声 その2

中継を見ていてこのケータイ評論家をどうにかしろと思ったが、まあ、あまり影響は及ばさなそうだから放置でいいのだろう。

僕らのインターネットWebは、技術者が作っていけばいい。それにはWebアプリケーション技術者にできることがある。駄目な方式は使わないこと。わかっている技術者は、まず、契約者固有IDの使用をやめることだ。もう始めてしまったところは、今すぐやめられてないにしても、今後やめられるように今から準備をしておくことだ。

先月にはついに「かんたんログイン」の提供を中止するところも現れてきた。

  • Buzzurlからのお知らせ: Buzzurlモバイル向け、「かんたんログイン」機能終了のお知らせ, 2010年3月5日

    Buzzurの携帯電話向けBuzzurlモバイルにおきまして、携帯端末のいわゆる端末固有IDを用いた「かんたんログイン」機能を提供しておりました。 しかし昨今の携帯端末を取り巻く環境の変化により、Buzzurlでは「かんたんログイン」機能はその役割を終えたと考えております。つきましては2010年3月末日を持ちまして本機能の提供を終了いたします。

  • Buzzurlからのお知らせ: 【Buzzurlモバイル】かんたんログイン機能終了のお知らせ, 2010年4月3日

    3月末日までに提供を終了するとお伝えしておりました、Buzzurlモバイルの簡単ログイン機能ですが、本日を持ちまして提供を終了いたしました。

    簡単ログイン機能を提供するために、簡単ログインの設定を行われたお客様の端末固有IDを技術的に復元困難な形式に変換した上で保存しておりましたが、簡単ログイン機能の廃止に合わせましてすべて削除いたしました。

ECナビはちゃんとわかっている技術者がやっているらしいということがわかる。

*1 たとえば、会員登録のURLは「……/registration/」となっていて「……/regist.php」ではない。

*2 「なりすましリスクが低い」の意味を好意的に汲み取って解釈すれば、「パスワード方式は、破られるような弱いものを付けている人がいるから、危ない」という意味なのかもしれないが、それを言うなら、パスワードをなくしてしまわないとそれは達成されない。現状の「かんたんログイン」方式は、パスワードがあった上でそれの入力を単に省略するものなので、リスクは増えることはあっても、減っているわけじゃない。パスワードをなくしてしまうには、最初からずっとサブスクライバIDだけで認証する方式となり、従来の着メロなどのコンテンツ課金や1か月単位での課金にはよかったかもしれないが、サブスクライバIDが変わらざるを得ないタイミングを超えて継続して使用する必要のある性質のサービス(SNS等)において、はたしてそこまで割り切れるだろうかという疑問がある。

*3 いや、だから、そういう問題じゃないんだってば。

*4 いや、そんなの他にいくらでもやり方があるってば。ドコモがcookieサポートしてこなかったからできなかっただけ。これまで携帯電話が課金で成功してきた理由は単に、携帯電話の契約だけで料金引き落としの契約が同時に済んでいるって点と、寡占事業なので成り立ってるってだけなんだってば。

本日のリンク元 TrackBacks(19)

2010年04月15日

サイボウズOfficeも匙を投げた「簡単ログイン」

今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。

「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。

「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。

この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。

しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のインターネット回線から telnet コマンド等で「契約者固有ID」を送信することで、携帯電話を使わずにパスワードなしでログインできてしまうことを確認しました。

(1) これはセキュリティ上の欠陥ですか、それとも仕様ですか?
(2) 仕様であるとすれば、なぜこのような仕様で安全性が保てるのですか?

以上の2点についてお尋ねします。

画面キャプチャ
図1: サイボウズOfficeの「ケータイ」機能の謳い文句
「携帯端末認証に対応しているので、かんたん・安心」とある。
(現時点でもこの記述は残っている。)

なぜ、脆弱性として届け出るのでなしに、サイボウズ社に「これは仕様ですか?」と質問を投げかけたかというと、じつは、サイボウズOffice 8で確認したところ、サイボウズのログイン画面にアクセスするURLに、秘密キーが含まれる形になっていたからだった。

携帯電話からサイボウズOfficeにアクセスするには、サイボウズOfficeの設定画面で、そのユーザ専用のURLを携帯電話にメールで送信するようになっている。実際、私の自宅に設置したサイボウズOffice 8で、簡単ログイン用のURLを携帯電話にメール送信したところ、そのURLは以下のものであった。

http://202.〓〓.〓〓.〓〓/cgi-bin/cbag/k.exe?sa=BoRmRhMPJNjdgLiCfXMjpE(略)&lk=cdb44b39cff7731a73d28d637f(略)

つまり、このURLが漏れることがないのならば、乗っ取られることはない。しかし、このURLは本当に漏れることがないと言えるのだろうか。その点を尋ねたのであった。

サイボウズ社からはすぐに(2営業日後に)担当者から詳細な返事を頂いた。その内容は予想外のものだった。

なんと、サイボウズOffice 7の「簡単ログイン」では、URLにこのキーが含まれていないのだという。それだと完全に脆弱性である。しかし、それは私が言い出すまでもなく、最初のメールで担当者自らがそれを脆弱性と認め、「かんたんログイン利用に伴う危険性等について公開を検討する」という詳細な説明を頂いたのだった。

そこで私は、「それはたいへん良いことと思います。ぜひそうなさってください。」「IPA又はJPCERT/CCに届出されてはいかがでしょうか。」とお返事した。すると、JPCERT/CCへ届ける予定とのことだった。

そして今日、サイボウズから告知が出た。*1

書かれている対策を私なりに要約すると、

  1. サイボウズ リモートサービス」を契約するか、さもなくば、サイボウズOfficeを稼働させるWebサーバにIPアドレス制限を施すこと。
  2. サイボウズOffice 7ケータイの利用者は、Office 8にバージョンアップする。(アクセス用URLに秘密キーが含まれている分、ましだから。)

の、1.のみ、または1.と2.の両方を実施せよという意味だろう。

ここで問題となるのは、IPアドレス制限の方法である。これについてサイボウズは次のように説明している。

Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を行ってください。

Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーのIPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。

「簡単ログイン」機能の脆弱性【CY10-04-001】, サイボウズ, 2010年4月15日

つまり、サイボウズOfficeを購入した当人が自力で方法を調べてアクセス制限せよ、というのである。ぶっちゃけ、それは無理な話だ。

しかし、ここでサイボウズを責める気がしない。なぜなら、どうやったら確実にIPアドレス制限によるかんたんログイン対策が完遂できるものなのか、誰にもわからないからだ。携帯電話会社がいまだにそれを明らかにしていない。

サイボウズOffice本体のプログラムにIPアドレス制限の機能を組み込む解決策も考えられたはずだが、そのようにされなかったのは、携帯電話会社が「IPアドレス帯域」と称してどこかに掲載している情報は、たびたびアップデートされていて、自動的にアップデートする手段もないため、売り切り型のパッケージ製品であるサイボウズOfficeにとって、購入後まで利用者の面倒をみていられないということなのだと思う。

このように、特にパッケージ製品での「かんたんログイン」は、完全に破綻している。

現時点においては、パッケージ製品に「ケータイかんたんログイン」の機能が搭載されていたら、自動アップデートの案内でもない限り、安全でないものと疑ってかかるのがよいだろう。「携帯端末認証に対応しているので、かんたん・安心」といった謳い文句は大嘘だ。

サイボウズ社は、今回の告知に伴い、従来からあったFAQページ「外部からも、社内のサイボウズ製品にアクセスできるの?」に、以下の注意書きを加えている。

外部からのアクセスする場合の注意点

セキュリティ

(略)

「サイボウズ Office ケータイ」をご利用になる場合、アクセス元の IPアドレス制限を実施していない環境では、携帯電話の契約者固有 IDを知り得る立場で、ケータイログインページの URLがわかっている場合、簡単ログイン機能を利用し、外部のパソコンなどから、アクセスされる危険性がございます。

「サイボウズ Office ケータイ」をご利用になる場合は、弊社「サイボウズ リモートサービス」をご利用いただくか、Web サーバーで、携帯電話からしかアクセスできないよう IPアドレス制限を実施していただく事をおすすめいたします。

※「リモートサービス」では、IPアドレス制限を実施しております。

Webサーバーで、IPアドレス制限をかける場合は、各携帯電話会社のホームページなどをご確認いただき、各携帯電話会社のサーバーの IPアドレス帯域からのアクセスのみ許可する設定をお願いいたします。

簡単ログイン機能について

「サイボウズ Office 7 ケータイ」では、携帯電話の契約者固有 IDでの認証のみで認証を行っておりますが、「サイボウズ Office 8 ケータイ」では、セキュリティ強化のため、携帯電話の契約者固有 IDでの認証に加え、ケータイログインページの URLに自動的に付加したアクセスキーと「サイボウズ Office 8」で保持しているアクセスキーでの認証機能を追加しております。

こちらの認証により、パスワードを変更することで、アクセスキーが変更され、以前アクセスしていた古いアクセスキー付き URLからはアクセスできないようになっております。

「サイボウズ Office 7」をご利用のお客様は、「サイボウズ Office 8」へバージョンアップされる事をおすすめいたします。

※定期的にパスワードを変更されない場合は、「サイボウズ Office 8 ケータイ」であっても、携帯電話に保存した URLから、簡単ログインが可能ですので、ケータイログインページの URLを他人に知られないようご注意ください。

外部からも、社内のサイボウズ製品にアクセスできるの?, サイボウズお客様センター

ちなみに、「サイボウズ リモートサービス」というのは、携帯電話からの接続のみを受付ける制御を、サイボウズ社の中継サーバーが代理でやってくれるというものなのだが、このサービスについて、4月12日に以下の「重要なお知らせ」が出ていた。

  • 「サイボウズ リモートサービス」のセキュリティ強化について, サイボウズ ニュースサイト, 2010年4月12日

    「サイボウズ リモートサービス」のセキュリティ強化について

    昨今のモバイル市場が広がる中、接続方法が多様化しております
    そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。
    何卒ご理解のほどよろしくお願い申し上げます。

    (略)

    4、影響範囲

    下記端末からリモートケータイ用 URL への接続が出来なくなります。

    • iPhone
    • Softbank X シリーズ
    • イー・モバイル ケータイ

    (略)

    iPhone Safari へクライアント証明書をインポートしてパソコン用画面へアクセスする場合は制限の対象となりません。

これまではiPhoneやEMnetからのアクセスを許していたということなのだろうか……。

関連

*1 ところで、この告知に気づいた人はどれだけいただろうか。http://cybozu.co.jp/products/の右メニューに「サイボウズ製品の脆弱性について」というリンクがあるのは評価できるが、製品のページhttp://products.cybozu.co.jp/office/の「重要なお知らせ」にはこの脆弱性についての告知が出ていない。「お知らせ一覧」というページがあるが、「重要なお知らせ」に出ていないし、一番下に「セキュリティ情報」というコーナーがあるものの、そこには「現在、セキュリティ情報はありません。」と出ている。

本日のリンク元 TrackBack(1)

2010年04月17日

ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を

昨年示していた、

  • やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記
    スライド

    日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。

    そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。

の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考まで蝕みつつあるらしいことが、一昨日の以下のプレスリリースと、メディア各社の報道で明らかになった。

  • ヤマダ電機、日本ユニシス、家電量販専門店業界初、iPhoneを使ったケイタイポイント会員サービスを開始, 日本ユニシス プレスリリース, 2010年4月15日

    〜 今流行のiPhoneで「YAMADAモバイル」が利用可能に 〜

    (略)iPhoneを使ったポイント会員システムは国内家電量販専門店業界初となります。(略)

    2. 本システムの特徴
    (1)iPhoneアプリケーションとWebアプリケーションが連携したポイント会員システムです。
    (2)iPhone個体の識別子とアプリケーション固有のIDによる認証によりセキュリティの高い認証が可能です。
    (3)今後拡大が予想されるスマートフォン(高機能携帯電話)への対応も容易となります。

  • ヤマダ電機と日本ユニシス、iPhone 向けポイント会員サービスを開始, japan.internet.com, 2010年4月16日

    このシステムは、iPhoneアプリとWebアプリが連携したポイント会員システムで、iPhone個体の識別子とアプリ固有のIDによる認証により、セキュリティの高い認証を可能としている。

    また同システムにより、今後拡大が予想されるスマートフォンへの対応も容易になるという。

これは危ないのじゃないのか。そういう声が、Twitterで昨日から数十件ささやかれていた。

本来ならこれが実際に脆弱であることを確認してから書くところであるが、それをしているとまた何か月も経ってしまう。今まさに、おそらく各社がこぞって、iPhoneやAndroidをはじめとしたスマートフォン対応の開発に真っ盛りであるはずで、今、このようなやり方の広がりを食い止めるべく書いておく必要がある。

この実装方法がまずいのは、「アプリケーション固有のID」の機密性に頼っているらしい点である。そのiPhoneアプリのプログラムが解析されて、そのIDと演算アルゴリズムがバレてしまえば、誰でも任意のiPhoneのUDID*1を用いて(同じ演算をした値を送信することにより)、他人になりすまして利用できてしまうだろう。*2

家電量販店のポイントシステムという用途なら、そのくらいの危険性は想定内でかまわないという考え方もあるだろうが、問題なのは、開発元のSI会社がプレスリリースで「セキュリティの高い認証が可能」と高らかに謳っている点である。

「今後拡大が予想されるスマートフォンへの対応も容易となります」とあるように、このSI会社は今後おそらく、認証がより重大な意味を持つ他のアプリの開発に携わるであろうし、このニュースを見た他のSI会社やその他の中小の開発者らが、「ほうほうそうやって作ればいいのか」と思ってしまうことが危険である。

こんなやり方をしてしまうのは、ケータイ用のシステムが既にあったためだろう。ケータイで使っている契約者固有IDに代わる何かがないとWebアプリケーションが作れないと思ってしまった開発担当者が、iPhone OSのUDIDに目を付け、これを使えば(何かに比べて?)「セキュリティの高い認証」ができると思い込んでしまったのだろう。

そもそも、端末に固有のIDなど使う必要がない。PC用のアプリでそんなことをやっているソフトがあったかね? 一般のPCにだって固有IDは元々いろいろある。ネットワークインターフェイスのMACアドレスでもいいし、ハードディスクにだってシリアル番号がある。それらを不正コピー防止の目的で用いてきた歴史はあるけれども、それはユーザのサーバログインなしで使うソフト(Windows本体やMicrosoft Wordなど)ではそうするしかなかったから(それでさえ反発があった)であって、Webアプリのユーザログインに使うなんて馬鹿はいなかった。1999年の、Intel Pentium IIIのProcessor Serial Numberのボイコット運動は、そういう輩が現れるのを抑止するための運動でもあった。

こういう専用アプリでパスワードなしに使用させたければ、端末をサービスに登録するときに、Webアプリケーション側で専用のID(予測が困難な十分な長さの乱数によるID)を発行して、それをiPhoneアプリに覚えさせておけばよい。独自アプリなんだからそれの記憶ができる。ケータイでそれができなかったのは(cookieのない)Webブラウザであったからにすぎない。

そのIDが消えてしまったらどうするの?という不安があるのかもしれないが、どのみち機種変更時の乗り換え機能が必要なのであって、用意されている「機種変更」の手順で再登録するだけの話だろう。実際、ヤマダ電機の「ケイタイdeポイントに関するお問い合わせ」窓口に電話で尋ねたところ、機種変更の際には、会員番号と暗証番号、電話番号を入力するようになっていて*3、会員番号は会員登録のときに発行されるもので、電話番号は会員登録のときに登録させているもの、暗証番号は最初に「ケータイdeポイント」に登録するときに設定させているものだという。

だったら、端末ID(UDID)を用いる必要性はまるで無い。*4

今回のアプリは、ケータイWatchの記事によると、「3G回線専用サービスとなるため、無線LANでは利用できない」のだそうで、これの意図も不明だ。開発担当者は「ケータイの契約者固有IDの使用ではIPアドレス制限をするのが定石だから」と、意味もわからず同じようにする必要があると思ったのだろうか。iPhoneからのアクセスのIPアドレスは何ら保証されていないし、そもそもiPhone OSというのは、PC同様に、自由に任意のプログラムを載せて動かすことができるもの*5なのだから、そんなやり方をしても何も防げやしない。

検索して調べてみると、iPhoneからのアクセスをIPアドレスで判別しようとする輩がうようよしていることがわかる。iPhoneはガラパゴスケータイではないのだからPC同様に作ればいいだけだというのがわからないのか。

今後も「IPアドレス帯域」が公表されることはないと聞いているし、こういう輩が湧いてくるので絶対にすべきでない。

日本のWeb開発者の劣化が止まらない。こんなことになってしまったのは、ケータイ業界が契約者固有IDなどという世界に通用しない安直方式を長年に渡って使用を拡大してきたためであり、その遠因はcookieをサポートしてこなかったNTTドコモにある。

早く立ち直ろう。SI屋は、今やどこもセキュリティ部隊を抱えているはずなので、専用アプリの開発においても、セキュリティ部隊に相談、ないし脆弱性検査を受けたらいい。少なくとも、セキュリティを宣伝するプレスリリースを出すときは、セキュリティ部隊に相談するべきだろう。

*1 UDIDは他人に提供する場合がある。2009年8月2日の日記にも書いていたように、AppleはDeveloper Connectionの文書「iPhone Reference Library」において、UDIDについて「but cannot publically be tied to a user account」と、ユーザ認証に使うなと示唆している。

*2 かつて存在していたNAVITIMEのiPhoneアプリも同様の方法だったと推定している。

*3 複数台を登録して使うこともでき、実際に2台以上を「同時に使っていらっしゃるお客様もございます」とのことだった。

*4 もしかすると、プレスリリースの「アプリケーション固有のID」が指すものが、上記の端末登録時に個々に発行する専用IDのことを述べているとも解釈できなくもないが、そうだとすれば、ますますUDIDは全くの無用の長物であり、組み合わせて使う意図が不明であるし、それをことさらにプレスリリースで「セキュリティの高い認証が可能」と謳う意味も不明だということになる。

*5 Appストアに登録できないだけで、開発者は任意のアプリを自分のiPhoneでテストできるし、ベータテストのための「ad hoc配布」もできる。

本日のリンク元 TrackBacks(8)

2010年04月25日

ここまで破綻しているケータイID認証(簡単ログイン)

2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。

これは要するに次のような話だった。

まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwapproxy.softbank.ne.jp:8080 を通してアクセスすると、一般のPCからでも、「Yahoo!ケータイにて利用するIPアドレス帯域」で示されているIPアドレスからのアクセスができるという。これは仕様であろう。

となると、HTMLソースを閲覧できる(これはやむを得ない*1)ほか、任意のケータイIDを送信できてしまうことになり、「かんたんログイン」などのケータイID認証を突破されるとの疑いがもたれた。ただ、User-Agent: ヘッダに載せて渡される端末製造番号は偽装されるかもしれないが、X−JPhone-UID: ヘッダはProxyサーバで付与される(オーバーライドされる)ものなので偽装はされないとの結論に落ち着き、「かんたんログイン」に端末製造番号を使うのはやめようという話になっていた。

しかしここで私は気付いた。ということは、EMOBILEのEMnet経由でアクセスすれば、任意のヘッダを送れてしまうのではないかと。

つまり、PCからEMnetでダイヤルアップ接続して、EMnet用のProxyサーバ wm.internal.emnet.ne.jp:8080 経由でHTTPアクセスするときにどうなるかである。

実際に自分のEMOBILE端末で試してみたところ、EMnetの契約者固有IDを表すヘッダ X-EM-UID: に、ランダムな文字列を載せて送信した場合、これは、接続に使用しているEMOBILE回線の契約に対応したIDに書き換えらてWebサーバに届いた。つまり、契約者固有IDはキャリアのゲートウェイ(Proxyサーバ)でオーバーライドされるようになっている。

では、同じ環境で、他社キャリアの契約者固有IDを送信したらどうなるのか。つまり、EMnetで、X-Up-Subno: や X-JPhone-UID: や X-DCMGUID: を送った場合はどうなるのか。これはオーバーライドされずにWebサーバに届いた。

ということは、EMOBILEを含むキャリア各社の「IPアドレス帯域」*2でIPアドレス制限している「かんたんログイン」に対して、EMnet経由で auなどの契約者固有IDを送信すれば、なりすましログインができてしまう(場合がある)と考えられる。

そこで早速調べたのが、ポケットはてなの「かんたんログイン」機能だった。このときの顛末については、2月21日の日記「はてなのかんたんログインがオッピロゲだった件」に書いた通りで、ポケットはてなはEMOBILEの携帯電話に対応しておらず、イー ・モバイルからのアクセスはPC扱い(PC向け画面にリダイレクトされる)になっていた。

その後、どこかにEMOBILEに対応した「かんたんログイン」はないかと探していたところ、SNSサイト構築ソフトとして広く普及している「OpenPNE」がEMOBILEに対応していることに気づいた。OpenPNEはオープンソースなので、ソースコードを読んでその脆弱性が存在することは明らかだった。

2月22日、OpenPNE開発者の連絡先に「脆弱性について報告したい」とメールを送ったところ、何回かののやり取りの後、テスト環境を用意していただくことができ、そこでこの脆弱性を実証した上、問題の原因と考え方の詳細をお送りした。

画面キャプチャ
図1: OpenPNEへEMnet Proxy経由でauの契約者固有IDを送信しながら「かんたんログイン」ボタンを押す様子

そして3月5日、JVNとして脆弱性情報が公表され、OpenPNEプロジェクトから修正版がリリースされた。

これがOpenPNEの脆弱性であって、イー・モバイルの脆弱性ではないのは、次の理由からである。

EMnetのProxyは、偽のX-EM-UID:ヘッダが送信されてもそれを本物に差し替える(オーバーライドする)ようになっているが、偽のX-Up-Subno:や、X-JPhone-UID:、X-DCMGUID:の差し替え等は行わない。これを指して「イー・モバイルの脆弱性」と言えるだろうか。それは無理がある。なぜなら、X-Up-Subno:、X-JPhone-UID:、X-DCMGUID: はその名のとおり(「X-」が付いているとおり)標準化されていない、各社独自の勝手仕様なのであって、他社にとっては知ったこっちゃないからである。

もし仮に、EMnetのProxyが、X-Up-Subno: などのヘッダを削除する処置をとるようになったとすれば、それはイー・モバイルが他社の契約者固有IDにも責任を持つことになる。そうすると、キャリア各社がどんな勝手仕様のヘッダを設けているかを全て把握して、必要な措置を講ずる責任を負うことになり、しかもそれは、継続して永遠に、他社の新機能にキャッチアップしてアップデートしていかないといけないことになる。その方向性は間違っているだろう。

というわけで、これはOpenPNEの脆弱性として取り扱われ、OpenPNEが利用されているWebサイトはそうとうな数にのぼるとみられることから、IPAから注意喚起が出ていた。

  • 「OpenPNE」におけるセキュリティ上の弱点(脆弱性)の注意喚起, 情報処理推進機構, 2010年3月5日

    「OpenPNE」には、登録した携帯電話以外から、その携帯電話になりすましてアクセスできてしまうセキュリティ上の弱点(脆弱性)があります。この弱点が悪用されると、「OpenPNE」に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられる可能性があります。

    脆弱性による影響が大きいことと、「OpenPNE」の普及状況から、この影響を受けるソーシャル・ネットワーク・サービスのウェブサイトが国内に広く存在すると判断し、注意喚起を行いました。

同様の事例が他にどのくらいあるのかはわからないが、たとえば、ケータイPHP開発者のコミュニティサイトとして名高い「ke-tai.org」が、「実際に動いてすぐ使える」などと無責任に提供している「PHPによるかんたんログインサンプル」のコードが、これに該当する。

「実際に動いてすぐ使える」というこの解説は、IPアドレス制限について以下のようにしか説明していない。

なお、かんたんログイン機能で最も重要なのは、ケータイからのみアクセスを許可することです。(PCからの接続は不可とする)PCからだと端末ユーザIDはいくらでも詐称できてしまいます。必ずケータイからのみアクセス許可としましょう。

アクセス制限は.htaccess内で行っていますが、簡易版となっています。各キャリアのページや下記のページを参考にして、常に最新のキャリアIPアドレス帯域を指定することをオススメします。

→ ke-tai.org ケータイキャリア・クローラIPアドレス [ke-tai.org]

※追記
可能であるなら上記のアクセス制限に加え、接続元IPアドレスとユーザエージェントを照らし合わせ、同一キャリアであることも確認した方がより良いようです。詳しくはコメント欄をご覧ください。

実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日

ここで参照されている「ke-tai.org ケータイキャリア・クローラIPアドレス」の .htaccessファイルには、EMOBILEのEMnetのIPアドレスも「Carrier」として掲載されている。削って使えという指示はなされていない。

検索エンジンのクローラのIPアドレスまで一緒くたにされており、これをそのまま .htaccessとして使用しているサイトは危険な状態にあるだろう。

また、先日の日記「サイボウズ Officeも匙を投げた「簡単ログイン」」の最後にもちらっと書いたように、セキュアな接続が売り文句の「サイボウズ リモートサービス」で、4月12日に以下のアナウンスが出ており、これは、このサービスにも同様の脆弱性があったことを示しているのではないかと疑われる。

  • 「サイボウズ リモートサービス」のセキュリティ強化について, サイボウズ ニュースサイト, 2010年4月12日

    「サイボウズ リモートサービス」のセキュリティ強化について

    昨今のモバイル市場が広がる中、接続方法が多様化しております。そのため、「サイボウズ リモートサービス」のセキュリティを強化を目的に次の変更を実施いたします。何卒ご理解のほどよろしくお願い申し上げます。

    4、影響範囲

    下記端末からリモートケータイ用 URL への接続が出来なくなります。

    • iPhone
    • Softbank X シリーズ
    • イー・モバイル ケータイ

では、アクセス元からEMOBILEのEMnetを外せば大丈夫なのかというと、そうとも言えない。冒頭の記事のように、mailwebservice.softbank.ne.jp のAPNで sbwapproxy.softbank.ne.jp:8080 のProxy経由でアクセスするという、SoftBank経由の方法がある。

概念図
図4: 各キャリアのゲートウェイへのアクセス手段の存在と
契約者固有IDのオーバーライドまたはパススルー

実は、OpenPNEの3月5日の修正はバージョンによって修正内容が異なっている。OpenPNEでEMOBILEに対応していたのは、一部のバージョン(OpenPNE 2.13〜2.14系列)だけだった。私が指摘した問題に対して対策が施されたのは、このバージョンだけである。他のバージョンの修正点が何だったかというと、OpenPNEにはIPアドレス制限の機能がプログラムとして搭載されている(各キャリアの「IPアドレス帯域」リストがプログラム中に埋め込まれている)ものの、その機能がデフォルトで無効の設定になっているという別の問題があったため、それがデフォルトで有効に変更された(OpenPNE 3.4系列に対するパッチの最後の部分参照)のであった。

EMOBILEに元々対応していなかったというOpenPNE 3.4系列は、IPアドレス制限さえ有効にしていれば安全と言えるのだろうか。つまり、SoftBank経由での、PCからのアクセスに対してどうなのかである。

OpenPNE 3.4系列(の現時点での最新版)では、「かんたんログイン」の実現方法は、上記の ke-tai.org の方式に類似しており、まず、アクセス元のIPアドレスがキャリアのゲートウェイかを判別して(そうでなければPC用画面へリダイレクトし)、ke-tai.org 同様にPEAR(PHP Extension and Application Repository)の、「Net_UserAgent_Mobile」を使用して、契約者固有IDを取得し、取得した契約者固有IDが「かんたんログイン」利用者として登録されたIDに一致すればログインを許可するという構造になっている。ke-tai.org との違いは、IPアドレス制限が、docomo、au、SoftBank(とWILLCOM)に限定されている点である(ソースコードの該当部分)。

ここで、「PEAR::Net_UserAgent_Mobile」の構造がどうなっているかというと、ソースコードの肝心部分は次のようになっている。*3

Net/UserAgent/Mobile.php

300 function isDoCoMo($userAgent = null) {
302     if (is_null($userAgent)) {
303         $userAgent = @$_SERVER['HTTP_USER_AGENT'];
304     }
306     if (preg_match('!^DoCoMo!', $userAgent)) {
307         return true;
308 	}
...
323 function isEZweb($userAgent = null) {
325     if (is_null($userAgent)) {
326         $userAgent = @$_SERVER['HTTP_USER_AGENT'];
327     }
329     if (preg_match('!^KDDI-!', $userAgent)) {
330         return true;
331     } elseif (preg_match('!^UP\.Browser!', $userAgent)) {
332         return true;
333     }
...
137 function &factory($userAgent = null) {
139     if (is_null($userAgent)) {
140         $userAgent = @$_SERVER['HTTP_USER_AGENT'];
141     }
144     if (Net_UserAgent_Mobile::isDoCoMo($userAgent)) {
145         $driver = 'DoCoMo';
146     } elseif (Net_UserAgent_Mobile::isEZweb($userAgent)) {
147         $driver = 'EZweb';
148     } elseif (Net_UserAgent_Mobile::isSoftBank($userAgent)) {
149         $driver = 'SoftBank';
150     } elseif (Net_UserAgent_Mobile::isWillcom($userAgent)) {
151         $driver = 'Willcom';
152     } else {
153         $driver = 'NonMobile';
154 	}
156 	$class = "Net_UserAgent_Mobile_$driver";
...
171     $instance = new $class($userAgent); 
...
185     return $instance; 


Net/UserAgent/Mobile/DoCoMo.php

828 function getUID() {
830     if (array_key_exists('HTTP_X_DCMGUID', $_SERVER)) {
831         return $_SERVER['HTTP_X_DCMGUID'];
832     }
833 } 

Net/UserAgent/Mobile/EZweb.php

313 function getUID() {
315     if (array_key_exists('HTTP_X_UP_SUBNO', $_SERVER)) {
316         return $_SERVER['HTTP_X_UP_SUBNO'];
317     }
318 } 

つまり、User-Agent: によりキャリア別に場合分けして、そのキャリアを担当するオブジェクトを生成しておき、そのオブジェクトに対する getUID() で、各キャリアの独自仕様に基づいた契約者固有IDの取得が行われるようになっている。

したがって、User-Agent: に auのものを記載し、X-Up-Subno: に auの契約者固有IDを記載してアクセスすれば、そのIDが「かんたんログイン」に使用されると考えられる。

ここで、はたして、mailwebservice.softbank.ne.jp のAPN接続 + sbwapproxy.softbank.ne.jp:8080 のProxy経由で、そのようなHTTPリクエストの送達が可能なのかどうかだ。

実際に試してみたところ、そのような送達はできなかった。元記事「SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ」にも書かれていたように、SoftBank用の User-Agent: を送らないと、Proxyサーバでエラーとなるらしい。

UserAgentはどうやらNokiaかSamsungの端末のもので無いと「お客様の端末からはご利用になれません。(WJ46140E)」とエラーが出てはじかれる。

SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日

しかし、User-Agent: がSoftBankの所定の名称であれば、追加した X-Up-Subno: は削られることなくそのままWebサーバに送られた。

% telnet sbwapproxy.softbank.ne.jp 8080
Trying 172.24.168.97...
Connected to sbwapproxy.softbank.ne.jp.
Escape character is '^]'.
GET http://taruo.net/e/ HTTP/1.1
User-Agent: SoftBank/1.0/(略)
X-Up-Subno: 050010〓〓〓〓_mg.ezweb.ne.jp

<TR><TD>HTTP_X_JPHONE_REGION (略)</TD><TD><u><tt>44020</tt></u></TD></TR>
(略)
 <TR><TD>HTTP_X_UP_SUBNO (略)</TD><TD><u><tt>050010〓〓〓〓_mg.ezweb.ne.jp</tt></u></TD></TR>

これは、EMnetのときと同じ理由で、ソフトバンクモバイルの脆弱性ではない。

さらに、User-Agent: にSoftBankの所定の名称を与えた上で、その末尾に「KDDI-...」を付け加えた場合を試してみたところ、このProxyサーバはエラーを出さず、このHTTPリクエストはWebサーバに送られた。

つまり、Webアプリケーション側が、User-Agent: からキャリアを判別する際に、たとえば、「KDDI-」の文字列を含むか否かという方法をとっている場合には、「かんたんログイン」でなりすましを許してしまうということになる。

その点、PEAR::Net_UserAgent_Mobile は、上記のソースコード引用部

329     if (preg_match('!^KDDI-!', $userAgent)) {

のとおり、正規表現により、文字列の先頭が「KDDI-」で始まるときにだけ auと判別するようになっているので、この方法については影響を受けないと思われる。このため、OpenPNE 3.x系列(EMOBILE非対応)は、2.14系列(EMOBILE対応)と同様の修正が加えられることはなかった。

では、「文字列を含むか否か」でキャリアを判別しているWebサイト(ないしソフトウェア製品)は実在するだろうか。サンプルコードだが、次のものがあった。

  • 会員制携帯サイト簡単ログイン, CGI RESCUE チャレンジCGI, 発表日不明

    ◇ 会員制携帯サイトにおいて、パスワードの入力を省略できる仕組みのご案内です。
    ◇ 各会員専用のアドレスと、携帯電話から送信される固有の情報を照合し、本人の携帯であることを確認してログインする仕組みです。

    ダウンロード

    - KantanLogin_1.00.zip

これのソースコードの肝心部分は以下のようになっている。*4

cert.cgi

259     $UA = $ENV{'HTTP_USER_AGENT'};
260     $SN = $ENV{'HTTP_X_UP_SUBNO'};
262     if (($UA =~ 'UP.B') && ($SN ne "")) {
264         $ua = "ezweb";
...
267         $UID = $SN;
268     } elsif ($UA =~ /^DoCoMo\/\d/) {
271         $ua = "imode";
...
275     } elsif ($UA =~ /^J-PHONE\/\d/) {
278         $ua = "j-sky";
...

au の判別において「UP.B」の文字列を含むか否かで判別している。このような判別アルゴリズムを用いている場合、SoftBank経由で送信された auの契約者固有IDを受け入れてしまうと考えられる。

こうしたサンプルコードは、かなり多くの開発者らに見られていると思われる。Googleで「簡単ログイン」で検索してみると、以下のように、ke-tai.org の「すぐ使える」も、CGI RESCUEのものも、1ページ目に出てくる。

画面キャプチャ
図5: 「簡単ログイン」でGoogle検索した結果

他にも別のパターンがいろいろ考えられるだろう。たとえば、Googleでさえ次のようなコードを書いているようだ。

このコードは、User-Agent: を参照しないで、上から順に最初に見つかった契約者固有IDを採用するようになっており、SoftBankよりも上に auやdocomoがあるので、SoftBank経由で送信した、X-Up-Subno: や X-DCMGUID: が採用されてしまうだろう。

このように、Webアプリケーションの「かんたんログイン」実装がどうなっているかしだいで、「IPアドレス帯域制限」が破綻していると考えられる。

じゃあ、どういう実装なら安全と言えるかだが、そんなことは私には言えない。ソフトバンクモバイルのProxyが、User-Agent: を見て遮断しているようだけれども、それが、この問題を防ぐことを意図して正式に実施されているものなのか、それとも、たまたま別の意図でそのようにしたものが、偶然に効いているだけなのか、公表されていないのでわからない。将来もそのように動作するのか、何ら保証がない。遮断する User-Agent: の選別アルゴリズムも不明なままだ。さらに言えば、図4の「?」の部分がどうなっているのかも明らかにされていない。

私は、OpenPNE開発者に脆弱性の詳細情報を通知する際に、こうした考え方をすべて伝えた。いちおうベターな実装方法の案は紹介したけれども、そのときは、以下のように、責任を持てない旨を伝えた。

では、どのように実装すればよいか。

それは本来、携帯電話事業者が公表するべきことであって、私からは「どうすれば安全である」という保証ができません。なぜなら、携帯電話会社のProxyゲートウェイが、どのような方針で設計されているのか不明だからです。

以下は、こうすれば安全であるという意味ではありません。(略)

携帯電話会社各社が仕様と実装方法を明らかにしないのだから、こんなものは早くやめるべきだ。

関連

*1 そもそもHTMLソースを見られないことを前提にサイト構築することが間違っているので。

*2 EMOBILEのEMnetの「IPアドレス帯域」は http://developer.emnet.ne.jp/ipaddress.html に掲載されている。

*3 「{」の位置を改変して引用。

*4 elsif ... { の位置を改変して引用。

本日のリンク元 TrackBacks(6)

2010年04月27日

まだまだ他でも破綻しているケータイID認証

前回の補足。以下は、私が気づいたことではなく、2009年夏に「かんたんログインが危うい」との話題で持ち切りだったときに、既に公に語られていたことである。

しかし、携帯電話会社がこの仕様について何ら公表していないせいで、「かんたんログイン」実装者らに周知されていないのではないかと危惧される。事実を検証の上、少なくとも避けなければならないことを以下に書いておく。

端末シリアル番号を認証に使ってはいけない

X-JPhone-UID: などの、キャリアのゲートウェイ(やProxyサーバ)で付与される契約者固有IDは、偽IDが送信されても、ゲートウェイが本物のIDに差し替えてサーバに渡す(オーバーライドする)ようになっているらしいが、User-Agent: 内に記載された端末シリアル番号(IMEI番号)のオーバーライドはなされていない。

画面キャプチャ 端末の写真
図1: 左: 偽の端末シリアル番号と偽の契約者固有IDを送信した*1ときの様子
右: 使用した端末のIMEI番号

図1のように、私の端末のIMEI番号は末尾3桁が「357」であるところ、最後を「8」に変えた「偽の」端末シリアル番号を User-Agent: に載せて送信したところ、Webサーバにその文字列がそのまま届いている。

(一方、私のSoftBankの契約者固有IDは末尾3文字が「Wc0」であるところ、「Wc1」に変えた「偽の」契約者固有IDを X-JPhone-UID: に載せて送信したところ、これは「Wc0」にオーバーライドされてサーバに届いている。)

そして、アクセス元のIPアドレスは、「Yahoo!ケータイにて利用するIPアドレス帯域」のものになっている。

したがって、端末シリアル番号を認証に使っているとなりすましログインされてしまう。端末シリアル番号を認証に使ってはいけない。

このように端末シリアル番号をオーバーライドしないのは、仕様なのだろう。なぜなら、X-JPhone-UID: はヘッダの値フィールド全体が値なので仕様が暗黙的に自明だが、User-Agent: の途中に埋め込まれた端末シリアル番号は、どの部分が当該IDなのかその仕様が明確に定義されていない。感覚的には「4つ目の『/』の次の文字から次の空白まで」なのだろうけども、仕様が明確に定義されなかったせいで、Webアプリケーション側の実装は、「『SN』で始まり次の空白の前までの文字列」など、それぞれ思い思いのテキトーなやりかたがされているだろう。そのため、いくら、偽の端末シリアル番号らしき文字列をオーバーライドしようとしても、すべてのWebアプリ実装に対応できるようなパターンマッチが不可能になっている。

ネットの評判を検索して見てまわると、比較的最近に発売されたSoftBankの機種では、この端末シリアル番号の送信がデフォルトでOFFに設定されているらしい。そのため「かんたんログイン」が動かないということで、この設定をONに変更するように促しているサイトがあるが、危険なので、端末シリアル番号での「かんたんログイン」をやめるべきだ。

デフォルトでOFFに変更したということは、ソフトバンクモバイルは、この問題を知っていて、使うのをやめさせる方向でデフォルトOFFにしたのではないのか。

どうしてソフトバンクモバイルはこの事実を周知しないのか。いまだに「ユーザエージェントについて」のページに「端末シリアル番号」の使い方が掲載されている。無責任極まりない。

SSL接続で得たX-JPhone-UIDを認証に使ってはいけない

sbwapproxy.softbank.ne.jp:8080 をProxyサーバとして、SSL接続で(直接の https:// アクセスで)WebサーバにHTTPリクエストを送信した場合、end-to-endのSSL接続なのだから、そのリクエストの内容がいかなる内容であれ、それがゲートウェイ(Proxyサーバ)で書き換えられることはない。

画面キャプチャ
図3: SSL接続で偽の契約者固有IDを送信した*2ときの様子

図3のように、私のSoftBankの契約者固有IDは末尾3文字が「Wc0」であるところ、それを「Wc1」に変えた「偽の」契約者固有IDを X-JPhone-UID: に載せて送信したところ、Webサーバにその文字列がそのまま届いている。

そして、アクセス元のIPアドレスは、「Yahoo!ケータイにて利用するIPアドレス帯域」のものになっている。

したがって、SSL接続で受信した X-JPhone-UID: の値を認証に使っていると、なりすましログインされてしまう。SSL接続で受信した X-JPhone-UID: の値を認証に使ってはいけない。

たとえそのつもりがなくても、結果的にそうなっている場合がありそうなので注意が必要。つまり、http:// のページしか提供していないつもりで、所定のIPアドレスから送られてきた X-JPhone-UID: の値を認証に使用しているときに、管理者の与り知らぬところで実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっている場合、https:// 経由でなりすましログインされてしまう。

これも仕様だろう。キャリア側ではどうしようもない。なぜ携帯電話会社はこの事実を周知しないのか。無責任極まりない。

同様に、ゲートウェイ付与型の契約者固有IDを提供しているdocomoの場合はどうなのか。これは私から言うことではない。NTTドコモが周知することだろう。

先日のサイボウズOfficeの件のように、パッケージ製品として「かんたんログイン」機能を提供する場合、これに該当するアクセスについて、https:// では動かないようにする必要がある。それを、製品購入者の責任で安全に設定せよというのはあまりにも無理な話すぎる。

そして他にも……

つづく。

*1 自分の管理下にあるサーバに対して送信。

*2 自分の管理下にあるサーバに対して送信。

本日のリンク元 TrackBacks(2)

2010年04月28日

EMOBILEのX-EM-UID、はじめから破綻

昨日の「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」から導かれる当然の帰結であるが、EMOBILEの X-EM-UID: についても同様に、SSL接続で得たものを認証に使ってはいけない。

「IDがSSLで使えない」ではなく「SSLで得たIDを使ってはならない」である点に注意。つまり、http:// のページしか提供していないつもりでも、実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっていたりすると、https:// 経由でなりすましログインされてしまうということ。

EMOBILEの「EMnet」はProxyサーバ wm.internal.emnet.ne.jp:8080 によって提供されており、これをProxyとしてSSL接続すると、Webサーバでのアクセス元は、「IPアドレス帯域 Webアクセス時(EMnet)技術情報 | イー・モバイル」に掲載のIPアドレスになる。そして、これはごく普通のend-to-endのSSL接続なのだから、そのリクエストの内容がいかなる内容であれ、それがProxyサーバで書き換えられることはない。

画面キャプチャ
図1: EMnetのProxy経由でSSL接続し、偽の契約者固有IDを送信した*1ときの様子

私のEMnetの契約者固有IDは下3桁が「000」であるが、これを「001」にして送信してみたところ、図1のように、そのままWebサーバに到達した。

これは、イー・モバイル側ではどうともしようがない。これは仕様としか言いようがない。したがって、すべてのWebアプリケーション開発者は、SSL接続で受信した X-EM-UID: の値を認証に使ってはいけないことを知っておく必要がある。イー・モバイルはこの事実を周知するべきだろう。*2

加えて、(SSLを使わない)http:// の場合でも、X-EM-UID: は(多くのWebアプリケーションに対して)偽装できてしまう方法が存在することに気づいた。これは誰の脆弱性なのか。各Webアプリケーションの脆弱性と呼ぶにはあまりに酷な話だ。といって、(携帯電話端末の)ソフトウェア製品の脆弱性でもない。EMOBILEのProxyサーバ上で可能な処置はあり(それが完全な解決になるのかは疑問だが)、SoftBankではその処置をしているようなので、通報して修正を促すことにし、どんな方法でそれが可能なのかについては当面伏せておく。

それにしても、過去の失敗例がまったく共有されていない様子がうかがえる。EMOBILEが X-EM-UID: の送信を開始したのは、docomoがiモードIDの送信を開始したのとほぼ同時だった。ろくに技術検討をすることもなく始めてしまわざるをえないような、何らかの力がこのような結果をもたらしているのではないか。

追記

上記の「http:// のページしか提供していないつもりでも、実はWebサーバが https:// でもアクセスできるようになっていて……」という事態は、次のようなケースでも起き得るので注意が必要。

たとえば、「イー・モバイル公式サイト」は、http://emobile.jp/ にあるが、ここは https:// でのアクセスを想定して作られていない。ここをあえて https:// でアクセスしてみると以下のように、サーバ証明書の都合でSSL接続がエラーになる。

画面キャプチャ
図2: https:// でのアクセスを想定していないが、SSLでの接続が可能なサイトの例

これは、同社の別サイト store.emobile.jp とサーバが共用になっていて同じSSLサーバ証明書が置かれているためにこうなるのだが、こういうことはよくあることで、これ自体はとくに問題でない(想定されていないページなので、見なければよい話)。

このようなとき、通常はブラウザがアクセスをブロックするが、攻撃者はこの証明書エラーを無視してSSL接続することができる(Proxy経由であっても)のであるから、もし、このサーバ上に設置されたWebアプリケーションが、携帯電話の契約者固有ID(X-EM-UID: や X-JPhone-UID: など)を取得して認証に用いるようになっていた場合*3には、なりすましアクセスを許してしまう。

*1 自分の管理下にあるサーバに対して送信。

*2 イー・モバイルは、この問題を解決しようとして、secure.softbank.ne.jp と同様の策をとろうとするかもしれないが、それは、より悪い事態に陥る(しかも、SoftBankのケースよりもさらに悪い事態になる)ので、その道を選んではいけない。

*3 図1で例に挙げた emobile.jp はそのような処理をしていないようだが。

本日のリンク元 TrackBack(0)

2010年04月29日

10年前にもあった「IDで認証できる幻想」

今の若い人たちは知らないかもしれないが、21世紀が訪れたばかりの2001年8月、こんなことがあった。

JPNICがメールマガジンの発行を始めたところ、なぜか「郵便番号住所氏名電話番号までも記入させる欄がある」というニュースだったのだが、実際にそれを登録してみて、「登録情報更新」の画面へ行ってみたところ、以下のようになっていて、腰が抜けそうになったのだった。

画面キャプチャ
図1: 2001年当時のJPNICメールマガジン「登録情報更新」画面

画面キャプチャ
図2: 図1の「変更」ボタンを押した直後の画面(2001年当時)

今ではあり得ない光景だが、今日のケータイ業界の「簡単ログイン」がやっていることはようするにこれに近い。入力するIDがメールアドレスの代わりに、契約者固有IDないし端末シリアル番号に置き換わり、あとは、アクセス元がなにやら制限されている場合があるっぽいというだけだ。

画面キャプチャ
図3: イメージ映像

今日ではメールアドレスを秘匿する人も増えてきたので、メールアドレスさえ知られなければ、図1のような画面があっても気にしないという人もいるかもしれないが、それに対して、ケータイの契約者固有IDや端末シリアル番号の場合は、どんなサイトに行っても問答無用で取られているIDなのだから、たちが悪い。悪い人たちからすれば、占いやらのケータイサイトで掻き集めた大量のIDを、上のような構造サイトに入力しまくってウハウハということになってしまう。

このことが直感的にわからない部類の人々が日本のインターネットの将来を決定付けているとすれば、これは本当にヤバい。

関連

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
最新 追記