最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1266   昨日: 3470

2013年03月02日

オレオレ匿名化が良貨を駆逐する

「徒歩ログマップ」とビッグデータ

auナビウォーク」(NAVITIMEのスマホアプリと同等品)に、「徒歩ログマップ」という機能がある。ナビタイムジャパン社のプレスリリース「『徒歩ログマップ』提供開始のお知らせ」によると、2011年4月28日から開始されていたようだ。

この機能、ほとんど説明がない。アプリでは図1の画面に出てくる表示しか説明がないし、ナビタイムジャパン社のプレスリリースでも次のように説明されているだけだ。

『徒歩ログマップ』機能とは、「NAVITIME」、「EZナビウォーク」のGPS情報を元に、5都市(「EZナビウォーク」「au one ナビウォーク」は7都市)及び現在地周辺で最近歩かれている道が地図上で表示できるサービスです。本機能は無料でご利用いただけます。

・現在から1日以内に通行実績のある道路:緑色
・1週間以内に通行実績のある道路:うすい緑色

『徒歩ログマップ』提供開始のお知らせ, 株式会社ナビタイムジャパン, 2011年4月28日

画面キャプチャ 画面キャプチャ 画面キャプチャ
図1: 「auナビウォーク」の「徒歩ログマップ」

実際に使ってみると次のような画面が出てくる。

画面キャプチャ 画面キャプチャ
図2: 徒歩ログマップを使用したときの画面(2013年2月)

緑色になっているところが「通行実績」のある道路ということらしい。そもそも「徒歩ログマップ」の目的が何なのかがはっきりしないのだが、おそらくは、東日本大震災のときに、ホンダが、自社のカーナビ「インターナビ」とパイオニアの「スマートループ」のデータを集計して自動車の「通行実績・渋滞実績情報」を提供した(2011年3月12日から*1のに触発されて、ナビタイムは「徒歩の実績」を出したいと考えたものなのだろう。

しかし、「この道は徒歩で通行できるか?」を確認する目的で使うには、上の図2のように、データが全く足りてない(皆がNAVITIMEを使いながら歩くわけではないので)ようで、その用途には使えそうになく、何のためにサービスされているのかよくわからないものになっている。

その一方で、「プライバシー上の問題が生じはしないか」という危うさを感じた。つまり、以下の図3の例のように、左下の端点にある家の人(あるいはそこを訪れた客人)が、上の方にあるどこかへ行ったこと(しかも、この前日に)を示していることになりはしないか。

画面キャプチャ
図3: 特定の人の通行を示しているように見える「通行実績」の例(2013年2月)

そこで、「さすがに何らかの配慮がなされているのでは?」と思いつつ、実験をしてみた。以下の図4は、地下鉄都営三田線の千石駅「A3」出口から、文京グリーンコート(画面の地図中、右端)まで、「auナビウォーク」の地図を出したまま歩いたときの様子である。

画面キャプチャ 画面キャプチャ
図4: 千石駅から文京グリーンコートまで歩いた実験 2012年11月30日(左:実験前の画面、右:実験翌日の画面)

図4左の画面は、実験開始前にキャプチャしたものであり、千石駅「A3」出口付近に緑の線はないことがわかる。図4右の画面は、実験した日から24時間以上経過した12月2日0時56分に同じ画面を出したときの様子で、ちょうど千石駅「A3」出口から緑の線があり、「千石1」の交差点で90度曲がり、「グリーンコート前」のところまで延びている様子がわかる。

これを見たときはヤバいと思った。つまり、何ら配慮がされておらず、一人が通行した経路がそのまま公開されてしまっているではないかと、問題だと思った。

しかし、同じ実験を、人通りの少ない場所で行ったところ、翌日になっても緑の線が全く現れないという結果になった。

たしかに、千石駅「A3」出口からグリーンコートという経路は、たくさんの人が通行している経路なわけで、ということは、複数の人の通行実績がある部分だけ公開するという配慮がなされているのかもしれない。

そこで、もう一度同じ場所で、今度は、あえて違う経路を通って実験してみた。以下の図5はその結果である。

画面キャプチャ 画面キャプチャ
図5: 文京グリーンコートから千石駅まで迂回路を通った実験 2012年12月5日(左:実験前の画面、右:実験翌日の画面)

この日は、「グリーンコート前」から千石駅「A3」出口に向かったのだが、あえて遠回りして、図5左の画面に赤の線で書き込んだ経路を通った。通る前の「徒歩ログマップ」の画面は、図5左のように、赤で示した経路に重なる緑の線は存在しなかった。

そして翌日、確認してみると、図5右の画面のように、黄色の大通り(不忍通り)の区間だけ、緑の線が現れた。このことから、一つの仮説として、2人以上が通った区間だけ表示する(あるいは、k(k > 2)人以上が通った区間だけ表示する)ように配慮されている可能性が考えられる。

「k人以上が通った区間だけ表示」という配慮の方法は、一般に「k-匿名性」と呼ばれる匿名性の尺度を基にした匿名化方式のひとつであり、昨今、位置情報のビッグデータ的利活用におけるプライバシー保護の観点から、盛んに研究対象となっているところである。

位置情報の匿名化に際しては、ある人物の出発点と到着点が公開されてしまうことが問題として指摘されることが多い(それを指摘した上で問題を解決しようとする研究例が多々ある)のだが、その点で、はたして「徒歩ログマップ」は問題がないと言えるのだろうか。

「単純に通行者がk(k ≧ 2)人以上の区間を公開」というk-匿名化が施されているのだとすると、k=2ならば、2人で連れ添って移動した場合には、それが公開されてしまうことになり、問題がないとは言えないのではないか。

実際、前記図3の画面を見ると、周囲に緑の線がない状況で、くっきりと特定の地点からの経路がかなり長い区間で現れていることから、左下の端点は、歩いた人の出発点(または到着点)である可能性が高い(この端点より先に真の出発/到着点があって隠されているという可能性は低い)ように思われる。このことは、この例の経路の内容からしてもそのように推測できる。この例は、2人で連れ添って移動した場合*2ではないだろうか。

その後これ以上の詳しい実験は行っていないので、「auナビウォーク」が実際どのような配慮をしているのか、本当のところはわからない。

どこかに説明が書いてあるのかと探してみると、利用規約に以下の一節がある。

画面キャプチャ
図6: 「auナビウォーク」の利用規約(文字の色が薄くて読みにくいのは元のママ)

お客様は、当社がGPS測位データ及び検索履歴情報を、個人が識別できない態様に加工・編集等の処理を行ったうえで、本サービス、GPSコンテンツ若しくはこれに関連するサービス(ナビタイムジャパンが提供する「NAVITIME」等を含みます。)又は当社若しくはナビタイムジャパンのその他の事業において利用することを承諾するものとします。

利用規約 - EZナビウォーク/EZ助手席ナビ

「個人が*3識別できない態様に加工・編集等の処理を行ったうえで」というけれども、どのような意味で「識別できない」と言っているのか不明であるし、どのような方法でどの程度のレベルで「識別できない態様に加工・編集等の処理」を行うのか不明である。

前記の実例からして、「識別できない態様に加工・編集等の処理を行ったうえで」と言われても、信用できない。

震災のとき、ホンダが自動車の「通行実績・渋滞実績情報」を提供した件では、こうした疑義は生じなかった。なぜなら、その地図を見れば明らかなように、主要道路についてしか公開しないものであるため、プライバシーへの影響がなかったからである。

画面キャプチャ
図7: 東日本大震災における本田技研工業(株)による「通行実績・渋滞実績情報」の公開

このように、問題がないことが明らかであるサービスだけが提供されている社会においては、利用規約がどのように書かれていようとも(どのように曖昧に書かれていようとも)、そこが問題となることはなかろう。しかし、「徒歩ログマップ」のように、微妙なサービスを提供する事業者が出てくるとそうはいかなくなる。

「徒歩ログマップ」の場合、その目的とする用途からして、主要道路だけに限定するというわけにはいかないのだろう。また、利用者が十分に多くないため、k-匿名化を施したことで、表示される線がブツ切れになってしまっていることも、目的にとって不都合であり、できればk-匿名化を施したくないという考えがあるはずだ。

そうすると、「徒歩ログマップ」のような微妙なサービスは提供すべきでないという声が出てくるかもしれない。中止するのも一つの決断だと思うが、そうではなく、イノベーションを育むためには、できるだけ自由なサービス提供を許容するべきであるとする立場もあるだろう。実際、利用者数の増加に伴って問題が解消していく性質のサービスもあり得る。

しかし、そうであるならば、少なくとも、どのような匿名化を施しているのかを、明示するべきである。

このことは、微妙なサービスについてだけではない。ホンダの「通行実績・渋滞実績情報」のように、明らかに問題がないレベルの匿名化が施されている場合でも、また、グッドデザイン大賞を受賞するような社会的にも価値ある素晴らしい取組みであってもである。

むしろ、そうした適切な配慮がなされた優れたサービスこそが、率先して、匿名化の実態を明示する取組みをするべきではなかろうか。最初のうちは、適切に配慮された優れたサービスだけが登場するだろうけども、「ビッグデータ」の成功体験を煽るマスコミ記事が蔓延するにつれ、徐々に、無分別な事業者によるお粗末なサービスも出てくることになる。悪貨によって良貨が駆逐されることにならないよう、違いを区別できる手段を先んじて提供しておくことが効果的ではないか。説明するまでもなく問題のないサービスであってもあえて説明することに意義があるのだ。

しかし、そうとはいえ、「匿名化」といっても、その実現の程度、性質を一言で言い表す方法がまだ存在しない。「k-匿名性」も一つの指標を指す用語にすぎず、それによってどんな匿名化であるかを言い表せているわけではない。上記の「徒歩ログマップ」の事例で、「k-匿名化(k=2)を施しています」と説明されたとして、それで何がわかるのか。

「匿名化委員会」認定の完全匿名化処理技術

こういう状況がある中、昨年12月、「匿名化委員会」なるトンデモないものが存在することが発覚した。

発覚の発端は、「IT融合フォーラム パーソナルデータWG」の配布資料に、以下のトンデモなものが見つかったことであった。

画面キャプチャ 画面キャプチャ
図8: パーソナルデータWG 第1回 資料6-3

まず、「徹底利用しますが」というところにエキセントリックなものを感じるが、他にも、「完全なる匿名情報に変換」とあり、いったい何をもって「完全なる匿名」と言っているのか?という当然の疑問が湧いてくる。

そして、資料6-1にはこんなスライドがある。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図9: 「完全匿名化処理技術メルセンヌツイスター」(パーソナルデータWG 第1回 資料6-1より)

メルセンヌ・ツイスタは単なる擬似乱数生成器(しかも、暗号論的疑似乱数生成器ではない)なのだが、いくらメルセンヌ・ツイスタが優れたアルゴリズムであるからといって、それを「完全匿名化処理技術」などとして宣伝するのは詐欺である。

これを「第三者機関『匿名化作業監督委員会(仮称)』による厳正な情報管理審査・承認を得て」(図8)やっているというのだ。

最近「第三者機関」という言葉の濫用が横行している。何か崇高な高度で公平な判断を下す機関であるかのように聞こえるのをいいことに、勝手に、適当にでっち上げた団体を「第三者機関」と称したり、単にそこらへんにある平凡な一民間企業に調査を依頼しただけなのを「第三者機関に依頼した」などと称している事例が散見される。

この、「匿名化作業監督委員会」とやらはどこにあるのか?と、Twitterで疑問を投げかけたところ、早速見つけてきてくれた人がいた。

この団体の存在を初めて知り、見に行ったところ、こんなサイトだった。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図10: 在りし日の「匿名化委員会」のWebサイト(2012年12月17日)
(全ての実態を明らかにするために必要な限度で引用)

このように、サイトのどこを見ても、認定基準に関する記述が存在しない。何をもって「匿名化」と言うのかすら示されていない。

しかも、図10の4枚目の画面にはこう書かれていた。

本委員会は、専門家であるとともに、事業活動を支援する立場から、建設的な意見をいただける先生方にお願いしています。

何をか言わんやだ。ここの「専門家」が匿名化処理の専門家でないことは明らかである。

この事件は、情報法の本当の専門家たちを激怒させた。(ここに掲載していないものもある。)

この結果、あっけなくこの委員会は解散に至った。

画面キャプチャ
図11: 匿名化委員会閉鎖のお知らせ(2012年12月18日)

現在は、以下の説明が掲示されている。

この事例では、まだ、良識ある人々が関わっていたため、自主的に中止するに至ったからいいものの、今後、本格的に悪質な連中がこうしたインチキ第三者委員会を立ててきたらどうするのか。

そのような最悪な事態を回避するため、以下の施策が急務である。

  • 民間認証制度を公的に認証する仕組みを確立する。
  • 匿名化の定義を方法、程度、性質ごとに分類して標準化する。

以上。

*1 他にも、トヨタと日産も同様の情報を提供していた。(ITS Japan、4社の情報を統合表示する「通行実績マップ」公開, Car Watch, 2011年3月19日)

*2 その2人ともが「auナビウォーク」(又は「NAVITIME」)を使いながら歩いた場合。

*3 「が」は原文ママ。

本日のリンク元 TrackBack(0)

2013年03月16日

岡崎図書館事件から3年 〜 もう一つの誤認逮捕事件

一昨々日、去年の遠隔操作事件への対応で、

という記事が出たところだが、今、日本のサイバー犯罪史上象徴的なもう一つの誤認逮捕事件、「岡崎図書館事件」から、3年が経とうとしている。図書館が最初に「ホームページにつながらない」との苦情電話を受け、担当者が三菱電機ISに対応策を尋ねたのが、3年前の今日、3月16日であった

遠隔操作事件では犯人の取り違えであったのに対し、岡崎図書館事件は、犯罪でない行為を犯罪とみなしたと言うべき誤認逮捕であった。両者に共通するのは、捜査員や検察官の情報技術についての常識感の欠如であり、実際、振り返ってみると、どちらの事件でも、逮捕が報道された直後から、ネットでは異常逮捕を疑う声があがっていたのだった。

こうした違和感を、捜査員や検察官にも肌で感じられるようにならない限り、再びこうした不幸が繰り返されるだろう。

今ここをご覧になる方の中には、岡崎図書館事件のことは知らないという方も少なくないかもしれない。この事件についての紹介は既にいろいろな人達によりたくさん書かれているところ*1であるが、私も、震災の直前に、「地方自治職員研修」という雑誌に記事を書かせて頂いていた。編集部より転載の許諾を頂いているので、今日、ここに再掲しておく。


岡崎市立図書館事件とその教訓, 高木浩光
公職研, 地方自治職員研修, 2011年3月号より転載)

昨年5月、愛知県岡崎市の市立中央図書館の利用者が、業務妨害容疑で愛知県警に逮捕され、6月に不起訴処分とされる事件があった。この利用者がしていたことは、図書館のウェブサイトを30分ほどかけて2000ページほど閲覧する処理をコンピュータで自動化して、1日に1回、毎日実行するというものであったが、これが引き金となって図書館システムの不具合が顕在化し、他の利用者の一部に「閲覧障害」が発生した。図書館がこれを被害として警察に届けたことから、逮捕という展開になった。

これは誤認逮捕とも言える事案で、問題とされた利用者の行為は犯罪とは言えないものだった。なぜそう言えるのかは、誌面の都合上、説明しきれないので、詳細は他の文献(1)を参照して頂くこととして、ここでは、事件の概略を紹介した上で、図書館や行政の対応の問題点について私見を述べたい。

閲覧障害の発生と原因

逮捕された利用者(以下、Aさん)は、図書館ウェブサイトの「新着図書」のページを閲覧して、最近入架した図書を探していた。しかし、このページには過去3か月に入架した図書が表示されるようになっていて、入架日の記載がないため、数日以内に入架した図書を探そうとしても、簡単にはできない状態になっていた。

そこでAさんは、コンピュータによる自動処理を思い付いた。「新着図書」に表示される図書情報の全部(約2000件)を毎日取得して、前日との差分をとることによって、当日の入架図書を抽出するという方法である。2000ページを1秒間に1回か2回程度の速度で30分かけてアクセスするプログラムを作成し、3月13日から毎日それを稼働させた。

一方、図書館のウェブサイトでは、これが引き金となって障害が生じた。障害が具体的にどのようなものであったかは、後に判明した証拠の分析から、おおむね次のようなものと推定できる。

Aさんのプログラムが走る30分の間に断続的に計6分間、閲覧障害が発生する。この6分間のタイミングで図書館サイトに訪れた利用者にはエラー画面が現れ、その後ブラウザの再読み込みボタンを押してもずっとエラー画面が続く。一方、その6分間以外のタイミングでサイトに訪れた利用者らは、通常通りに利用でき、画面の応答が遅くなるといった現象も発生しない。24時間中の6分間なので、図書館サイトの1日の利用者が1000人だとすると、毎日4人くらいが閲覧障害に出くわしていた計算になる。

この程度の障害で業務妨害に当たるのかという疑問もあるが、図書館にしてみれば、障害が何人の利用者に出ているか把握できず、システム全体が停止したように見えたのかもしれない。

このような不具合が生じたのは、図書館システムの欠陥が原因だったことが後に判明している。岡崎市が採用していたのは、三菱電機インフォメーションシステムズ社(以下、三菱電機IS)の図書館システムで、同社の図書館システムには新型のものと旧型のものがあり、このうちの旧型にだけこの欠陥があった。

この欠陥がどういうものか概略を説明すると、一般にこうしたシステムはウェブサーバとデータベースサーバ(以下、DBサーバ)で構成され、ウェブサーバはDBサーバに接続して情報を得るようになっているが、この接続方法に問題があった。正しい方法では、ウェブページの閲覧があるごとにDBサーバに接続して、その都度、接続を切断するのであるが、三菱電機ISの旧型システムは、この接続を10分間つなぎっぱなしにするものだった。

DBサーバへの接続数には限りがあるため、この接続方式のシステムをインターネットに公開すると、たちまち不具合をひき起す。グーグルやヤフーなどの検索サイトから頻繁に自動アクセスが来ているからだ。DB接続の上限数を超える回数のアクセスが10分以内にあると、閲覧障害が発生する。

実際、三菱電機ISの旧型システムを導入していた全国の他の図書館でも、しばしば閲覧障害が発生していたようで、その対策として、グーグルやヤフーからの自動アクセスを拒否していた図書館もある。そこでは、先述の「10分」にあたる値を、システム設定で短く変更して調整していたという証言もある。

接続方式に欠陥がなければ、本来こうしたシステムの微調整は必要ない。三菱電機ISは、他の図書館で不具合の原因を把握できたにもかかわらず、根本的な解決策をとらず、場当たり的な対処で綱渡り的に凌いでいた。そこへ、Aさんがプログラムで自動アクセスしたことが発端となって不具合が顕在化し、警察に被害届が出されることとなったのである。

これは犯罪なのか?

愛知県警の捜査は当初、悪質なサイバー攻撃という見立てだったようだ。逮捕時の報道機関向け発表には「図書館の業務を妨害しようと企て」「ホームページの閲覧要求の信号を大量に送信し」という記述があった。Aさんは、任意聴取の段階で「DoS攻撃とは違いますが」と否定したという。

逮捕の報道の直後から、ウェブの技術者らから「この逮捕はおかしいのではないか」との疑問の声が出ていた。筆者は、岡崎警察署に電話して、「連続してアクセスするのはよくあること」「マッシュアップと呼ばれる正当な目的での利用ではないか」といった意見を伝えた。このとき、電話に出た警部補は、他からも同様の指摘の電話が来ていると言っていた。

確かに、世の中には悪質な「DoS攻撃」というものも横行している。企業のサイトをダウンさせ、攻撃を止める見返りに金銭を要求するといった犯罪だ。しかし、Aさんのプログラムは、そうした攻撃のためのものとは明らかに違っていた。詳しい説明は省略するが、Aさんのプログラムは「シリアルアクセス」と呼ばれる方法をとっており、サーバへの負荷に配慮したものであり、業界の標準としてみて特別に不適切な方法ではなかった。

このことが判明した時点で、事件性がないとして捜査は中止されるべきだったが、そうはならなかった。Aさんは不起訴になったものの、起訴猶予処分とされている。

起訴猶予処分とは「嫌疑不十分」や「嫌疑なし」とは違い、犯罪があったとみなされたことを意味する。Aさんは釈放される際、警部補に「君は人に迷惑をかけて罪を犯したけど(中略)反省しているので、検察が起訴猶予にしてくれたよ」と言われたという。12月の中日新聞の記事でも、名古屋地検岡崎支部の坂口順造支部長が「図書館側が想定しない使い方で業務を妨害したのは事実。未必の故意があったと言える」と述べている。

業務妨害罪に過失犯の規定はないので、故意がなければ犯罪ではない。しかし、検察は「未必の故意があった」としている。検察の取り調べで、Aさんは、サーバに障害が発生していることには気付かなかったと主張したのに、検察官は「でもプロなんだからそれぐらい気づかないの?」と繰り返し問い質したという。

技術者でない方にはそういう思い込みがあるようで、筆者がこの事件のことを知らない法学部の学生さんに「どう思うか?」と尋ねてみたときにも、「それだけのプログラムを作れる人ならば当然サーバがそうなることはわかっていたはず」という答えが返ってきた。同様に「図書館サイトを利用しているなら閲覧障害を見たはずだ」という指摘をする人もいた。

しかし、先述のように、今回の不具合は、その原因と症状の特殊さから、そう簡単には気づけなかったと考えられる。閲覧障害に出くわす確率が小さいので、Aさんが、プログラムを走らせていた70日間、毎日1回、図書館サイトを訪れていたとしても、その間1回も閲覧障害に出くわさないことは十分あり得る計算になる。

Aさんは、大学では情報工学を学んだ技術者であり、法律のことには疎く、故意がないことを主張すべきところを、「図書館のサーバに不具合があることだけを主張してしまった」と、当時を振り返っている。Aさんがサーバの不具合が原因と主張したのは、警察の取り調べで見せられた資料で気付いたからだが、検察官には、不具合のことを初めから知っていたように見えたのかもしれない。

このように、これは、愛知県警と名古屋地検岡崎支部のウェブ技術に関する無理解と、その無理解さに対する無自覚から生じた、誤認事件だと筆者は思う。実際、複数のサイバー犯罪担当の警察関係者が「愛知のあの事件はあり得ない」といった趣旨のことを、筆者ほかに述べている。しかし、一旦下された処分が覆されることはないし、検察が誤りを認めることは今後もないであろう。

図書館と岡崎市の対応

この事件は、朝日新聞名古屋本社の調査報道班が早い時期から取材を続けていた。紆余曲折を経て、8月21日朝刊(東京版では夕刊)で大きく扱われ、「図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていた」と報道された。

これで一件落着かと思われたが、その日、図書館がマスコミ取材に対応した結果、「図書館側のソフトに不具合はなく、図書館側に責任はない」いう館長のコメントが報道され、すべてがひっくり返されてしまった。これに対し、技術者らからは、図書館に対する非難の声が撒き上がった。

そして9月1日、岡崎市は「岡崎市立中央図書館のホームページへの大量アクセスによる障害について」という文書を発表。そこには、「一般利用とは異なり短時間に大量のアクセスが行われている」「大量アクセスを行った人物が逮捕され起訴猶予処分となっている」という記述があり、逮捕が正当なもので、Aさんの行為が犯罪に該当することを追認するものであった。これにより、さらに図書館への非難の声が増していった。

この情勢に変化が訪れたのは、9月下旬のこと、三菱電機ISのずさんな管理が原因で岡崎市立中央図書館の個人情報が流出していた事実が発覚してからである。詳しくは省略するが、11月に岡崎市は三菱電機ISを指名停止処分にしている。

筆者には、この別事件の発覚によって図書館が業者の呪縛から解かれたように見えた。10月には図書館長とAさんの面談が実現している。その際、図書館側はAさんに対し、「ITの知識がないので業者の言うことをそのまま信じざるを得なかった」「逮捕に至るきっかけを作ってしまって申し訳ない」「被害届は出したが、逮捕など大事になるとは思っていなかった」と述べたという。

その後、12月の岡崎市長の定例会見でこの事件が解決済みとして触れられたのをきっかけに、再び報道があり、それを受けて9月1日の岡崎市の発表文がようやく削除され、さらには、岡崎市内の市民団体「りぶらサポータークラブ」の仲介で、岡崎市と図書館に対して、被害届を取り下げるよう正式な申し入れが行われるに至った。本稿執筆時点ではこれが最新の状況である。

図書館や岡崎市には何度も方向転換する機会があったにもかかわらず、事態を長引かせる結果となった。

筆者は、逮捕報道の直後の時点で、疑問を感じて図書館に電話して意見を述べている。電話に出たのはこの事件に対応した担当者で、図書館側の事実関係については話してくださるものの、こちらから述べる意見に対しては、「ああそうですかはい」と相づちを打つだけで、まったく聞く耳持たずの状態だった。この時点で事件性がないことを理解できれば、すぐに被害届を取り下げて、Aさんの勾留もなかったかもしれず、残念でならない。

起訴猶予処分の後、非難の声があがると、愛知県警は「被害者を重視して捜査したまでだ」と言い、図書館は「警察にうながされて被害届を出しただけだ」と言い、互いに責任を擦り付け合った。図書館は、報道の後になっても世論に耳を傾けず、 業者の言い分に惑わされて、真実が何かを見誤った。

この事件は図書館とAさんだけの問題ではない。これが前例となって、技術者が今後も同様に逮捕されかねないことが問題であり、実際、愛知県警は6月の時点で、電話で問い合わせた技術者に対して、「同じ状況であれば逮捕します」と告げている。

Aさんと同様のソフトウェア開発をしている何人もの人が、恐ろしくて続けられないと発言しているし、これを機会に中止されたウェブのサービスがあったことも判明しており、重大な萎縮効果が生じている。

その懸念があるからこそ新聞各社がこの事件を報じているのに、図書館と岡崎市は抜本的な措置を自ら取ろうとはしなかった。岡崎市には社会の一員としての責任の認識が欠けていると言わざるを得ない。

参考文献

(1) 岡崎図書館事件文献リスト、http://takagi-hiromitsu.jp/misc/librahack/ksk/bib.html


この原稿を執筆した当時は、事態の収拾に向けて岡崎市に被害届を取り下げるよう交渉がなされている最中だった*2が、その後、結局、被害届が取り下げられることはなかった。震災後の3月30日、岡崎市のボランティア団体「りぶらサポータークラブ」によって「公式記録」が公表されて幕引きとなった。

ここの日記で書いたものは以下の通り。

吹田市立図書館でサイバー攻撃騒ぎ、岡崎の教訓は活きていたか? 岡崎図書館事件(18)

1年半前、書こうと思ったのに、その直後にミログ事件が発生し、その後もスマホアプリの問題が次々と勃発したため、書かずに放置してしまった件、今日、書いておく。

岡崎図書館事件の幕引きから半年が経過した2011年9月、大阪府吹田市で、図書館が「サイバー攻撃」され警察沙汰になりつつあるという話が、複数の吹田市議会議員のブログで明らかにされた。

  • 吹田市政の課題。あれこれ・・・, 21世紀型政治家・竹内じんいち“アクションレポート”, 2011年9月18日

    (図書館へのサイバー攻撃)
    9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。

    政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています

    ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明を受けた内容でしたが、関係者より事実と違う旨のご指摘を頂戴いたしました。謹んでお詫び申し上げ、当該箇所を削除します。

  • 図書館ホームページへの大量アクセス, 未来にまっすぐ いけぶち佐知子, 2011年9月19日

    吹田市立図書館への大量アクセスは、そんな大掛かりなことではないとは思いますが、17日に地域教育部から報告がありました。

    内容は、

    吹田市立図書館ホームページへの大量アクセスによる業務妨害が発生しており、ネット検索や予約ができなかったそうです。

    16日(金)午後4時40分以降、特定のアドレスからの大量アクセスをブロックする応急措置を行い、一時的に使用できる状況になった。

    しかし、その後、16日深夜から17日未明に掛けて、再び検索、予約を通常に使用できないという不安定な時間帯があり、原因究明を行っている。

    17日(土)の夕刻時点では、図書館ホームページの閲覧、検索、予約などについて支障なく利用できる状態まで回復した。

    とのことです。

    なんで、吹田市の図書館が狙われるのかしら???困ったものです。

    *文字の間違いがあったので修正しました。また、大量アクセスは、実はシステム上のバグがあったようです。詳しく尋ねて分かりましたら、また掲載します。(2011年10月2日記)

「岐阜県を発信ポイントとする」と聞いてピンと来るように、これは、「カーリル」(岐阜県中津川市に拠点がある)によるものだった。吹田市立図書館のシステムは、三菱電機ISではない、別のベンダーのシステムであり、岡崎の件とは別のバグが原因で、システムに不具合が発生したようだった。

すわ誤認逮捕か?と緊張が走ったが、さすがに、今回は三菱電機ISとは違うベンダーの方々がちゃんと良識的に動いてくださったのか(未確認)、そんなことにはならず、10月3日になって、吹田市のCIO(最高情報責任者)から同市市議会議員宛に、以下の文書が配布され、幕引きとなった。

  • 図書館ホームページ完全復旧, 未来にまっすぐ いけぶち佐知子, 2011年10月3日

    市議会議員 各位
    (略)
    吹田市立図書館ホームページの完全復旧について(報告)

    平成23年9月16日付け、市議会議員各位にご報告させていただきました吹田市立図書館ホームページの大量アクセスにつきましては、ご心配をおかけしているところですが、下記のとおり全面復旧いたしましたのであらためてご報告させていただきます。

    9月14日、本市図書館システムが不安定となり、検索や登録など一部のサービスが提供できなくなりました。リスク管理の観点から、外部からの不正アクセスも想定し、吹田警察署に相談するとともに庁内では危機管理対策会議を開催するなど、鋭意調査を進めてまいりました。その結果、当初危惧をしておりました大量アクセスの事実はなくプログラムの不具合による、エラーチェック漏れにより、システムが不安定となったことが判明いたしました。

    当初、大量な不正アクセスの可能性も考慮した原因として、保守業者の判断ミスがございました。また、対応処置の段階において、同保守業者のネットワーク機器設定での初歩的ミスも重なり、原因究明に時間を要することとなりました。

    原因を特定し復旧した後、改めて外部からのアクセス遮断を解除してテストを行い、当初と同じアクセス件数を受け入れても、システムにはなんら影響のない事も確認できました。

    今回の件につきましては、業務妨害の可能性がなくなりましたので、警察への被害届の提出は行いません

    市議会議員各位におかれましては、大変、ご心配ご迷惑をおかけいたしました。今後は、保守業者に図書館システムソフト(プログラム)の改良や、常日頃からシステム不具合の予兆がないか等の、状況把握が出来るような保守体制の強化を行わせます。また、図書館としましては、操作上のエラーが起こらないように、マニュアルの改善やチェック体制の強化等、管理運営方法の改善を行います。これらの措置により、安定したシステム運用を図ってまいりますので、ご理解賜りますようお願い申し上げます。

ここから読み取られるのは、吹田市は、被害届の提出には至らなかったものの、警察に相談したという事実である。吹田警察署はそのとき、どういう反応をしたのだろうか。ここが気になるところである。

また、不具合発生の初日の段階で市議会議員にその状況を伝えたという点も気になる。これは、システムのバグが原因の不具合である可能性を全く想定しなかったのだろう。報告を受けた議員が「なんで、吹田市の図書館が狙われるのかしら???」と疑問を抱いたように、「図書館をサイバー攻撃」ということ自体、最高情報責任者は違和感を持たないのだろうか。

ここで、岡崎図書館事件のことを知る者は誰もいなかったのかが気になる。誰か一人でも知る者がいれば、早い段階でシステムのバグの可能性についても想定したであろう。保守業者やベンダーのSEであれ、市役所の職員であれ、市議会議員であれ、誰かが知っていればよいわけだが、はたして、知られていただろうか。ここが気なる。

このような状況では、 今後も他の市町村で再び、被害届の受理まで至ってしまう事案が発生するかもしれない。岡崎の教訓は活かされないのだろうか。

この騒ぎの前年、12月の時点で、IPAから、DoS攻撃への適切な対応を示した手引きが公開されていたのだが、吹田市の最高情報責任者は読んでいなかったのか。

なお、地方自治情報センターからも、2011年5月の時点で、「クローラへの耐性」を診断項目として追加した「ウェブ健康診断仕様」が提供されていた。これも、吹田市の最高情報責任者は読んでいなかったのだろうか。こうした文書をいくら作っても、肝心の人々に届かないものなのだろうか。

なお、「ウェブ健康診断仕様」は、2012年12月に、維持・発展に係る業務をIPAに移管している。

*1 同時期に書かれたものとして以下がある。

*2 「岡崎市が被害届を取り下げ。ただし、公園の植木で」参照。

本日のリンク元 TrackBack(0)

2013年03月30日

空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機

まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。

このように、Tポイントカードの番号(Tカード番号)が丸見えになっている例が散見される。

ところが、CCCが運営する「T-SITE」(Tポイントカード1枚に付きひとつのWebサイトアカウントを作成できる)には、「新規登録」の際、Tカード番号と生年月日(と性別)の入力さえすれば、「Tカード情報の確認・反映をする」ボタンを押すことで、氏名、電話番号、住所が自動的に補完入力されるという機能がある(図1)。

画面キャプチャ
図1: T-SITEの「新規登録」の画面に必須項目を入力した様子

これはつまり、Tカード番号があれば、その人の生年月日さえわかれば、誰でもその人の氏名、電話番号、住所を引き出せてしまう*1ということを意味する。

ただし、ここに現れる住所等の情報は、Tポイントカードを貰うときに紙に書いて提出した会員登録の申込書に記載した事項であり、これがCCCのデータベースに登録されるまでには一週間ほどの時間がかかるため、Tポイントカードを貰った直後では、ここに反映されることはなく、「お客様のTカード情報は処理中です。」というエラーメッセージが出るようになっている。また、既にT-SITEに登録済みのTポイントカードの番号を入力した場合は、「既にT−IDに登録されています。」というエラー画面になる。

つまり、この危険は、TポイントカードをもらったらすぐにT-SITEに登録してしまう(住所等を手入力して)ことで回避できる。

このような登録方式は欠陥があると言うべきだが、この問題は、既に1年以上前、PASMOにも同様の問題があることが話題になったとき(2012年2月26日の日記「ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか」参照)に、T-SITEにも同じ問題があるとして、指摘をTカードサポートセンターに伝えたという人がいた。私もそのとき電話した記憶がある。

念のため、昨日、Tカードサポートセンターに電話して、今でも、Tカード番号と生年月日(と性別)だけから住所等を引き出せてしまうのかを質問したところ、その通りだとの回答があった。それは欠陥である旨を改めて告げると、お客様の声として承っておくとの返事だった。

Tカード番号さえ他人に知られなければ、住所や電話番号が漏れることはないわけだが、今、佐賀県武雄市では空前のTSUTAYAブームの波が押し寄せているため、明日の一般市民開放デーで、Tポイントカードの写真をネットに掲載してしまう人がさらに続出する恐れがある。

T-SITEの存在を知らない人も少なくないだろうから、そういう人々がT-SITEの「新規登録」をしないでいると、住所・氏名・電話番号漏洩の危険に延々と曝され続けることになりかねない。T-SITEに全員登録すべきとは思わない*2ので、Tポイントカードの写真の取り扱い*3を注意するよう促すしかないだろう。

この欠陥の責任をCCCに問えるかというと、T会員規約で次のように規定されている。

第5条 (免責事項等)

3. 会員は、Tカード番号、T-ID及びパスワードを他人に知られることのないよう、責任をもって管理するものとし、会員の過失により何らかの損害が生じた場合といえども、当社は一切責任は負わないものとします。

T会員規約, カルチュア・コンビニエンス・クラブ

このように、Tポイントカードは、セキュリティを自ら放棄したシステムであり、会員に責任が負わされるものになっている。

漏洩の危険があるのは、氏名・電話番号・住所だけではない。他人にTカード番号で勝手にT-SITEにアカウントを作られてしまうことも起き得るわけで、そうなると、Tポイントの利用履歴(いつどこで何ポイント取得・使用したか)を閲覧されてしまうことになる。まだ確認されていないが、武雄市図書館でいつ本を借りたかも閲覧できてしまうようになるのかもしれない。

そういうTポイントカードに、武雄市長は「病歴も入れられるんじゃないか」と構想しているそうだから、市民は今後の成り行きに注視した方がよいだろう。

なお、今国会に提出されて現在衆議院で審議中の「行政手続における特定の個人を識別するための番号の利用等に関する法律案」の「個人番号」及び「個人番号カード」においては、こういうことにならないように、必要な対策がとられることになっている。

追記(4月1日)訂正あり

やはり、どうしても人々は写真を撮って載せてしまうようだ。

ここには、Tポイントカードこそ写っていないものの、レシートが写っている。一般に、TポイントのレシートにはTカード番号が印刷される*4ようだが、武雄市図書館店では、下4桁を残し、「************」で上12桁をマスクしているようだ。

しかし、Tカード番号の上8桁は、店舗で共通なので、武雄市図書館店で発行されたTカードの場合、公知の値である。しかも、次の4桁も、これまでに発見された写真で、「0000」「0001」「0002」のいずれかであることが判明している*5。どうやら、武雄市図書館店では連番で発行されている*6ようだ。

つまり、レシートの下4桁が写った写真を公開してしまうと、事実上、Tカード番号を公開したも同然(3分の1弱の割合で当たってしまう)である。よって、上記の問題は、Tポイントカードの写真だけでなく、Tポイントカード使用時のレシートの写真についても注意が必要ということになる。

それから、一点訂正だが、上記では、「CCCのデータベースに登録されるまでには一週間ほどの時間がかかるため、Tポイントカードを貰った直後では、ここに反映されることはなく」と書いたが、この猶予期間は、店舗によって異なるようだ。

私が一週間と聞かされたのは、ドラッグストアのTポイントカードを貰ったときであり、昨日、代官山蔦屋書店のTポイントカードを貰ったときには、店員さんから「明日登録される」との説明を受けた。

レンタルなど本人確認を必要としているところでは、この登録が早い可能性がある。つまり、CCCのデータベースへの登録に時間がかかるなら、その間に tsite.jp のアカウントを作成することで、上記の漏洩のリスクは回避できるが、レンタル店など、即日あるいは翌日に登録されてしまうところでTポイントカードを作成したときは、直ちに tsite.jp に登録する必要がある。

*1 このような行為は、刑法161条の3 電磁的記録不正作出及び供用の罪(「人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する」)に当たる恐れがあるので、やってはいけない。(その点、1年前のPASMOのケースでは、「マイページ・PASMO履歴照会サービス」は、本人以外によるアカウント作成を禁止しておらず、むしろ本人以外が使うことを想定したサービスであったことから、人の事務処理を誤らせるものに当たらず、この罪には該当しないものであった。一方、Tポイントカードは、規約で、本人のみの利用しか認めていない。)

*2 T-SITEにログインすると、Webの閲覧履歴(CCC関係会社の広告ネットワークによるものに限られる)がTカード番号及び実名に紐付けられてしまうので。(これについては日を改めて書きたい。)

*3 従来の通常のTポイントカードと違ってこのTポイントカードの写真を見せびらかしたくなる衝動があることについては、そもそも以下の感想が寄せられている。

*4 代官山蔦屋書店では「会員NO.」としてTカード番号の全桁が印刷されるのを確認した。

*5 31日の読売新聞の記事「ツタヤ運営の市立図書館、情報流出懸念の声も」によると、約3200枚のTポイントカードが発行済みのようなので、連番で、現在、00032XX-Y(Yはチェックディジット)くらいまで出回っていると推定できる。

*6 このこと自体、別の問題をひき起こしそうだが……。

本日のリンク元 TrackBacks(2)

最新 追記

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
最新 追記