最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 149   昨日: 1370

2012年06月08日

カレログ様のものでストーカー行為、不正指令電磁的記録供用罪の適用が現実に

「カレログ*1」がテレビのワイドショーを騒がせていた昨秋、人のスマホに勝手にインストールする行為が、はたして、改正されたばかりの刑法、第168条の2第2項の不正指令電磁的記録供用罪に当たるのか否かが焦点となっていた。理論上の話としては、先日の「法務省担当官にウイルス罪について質問してきたパート2」に書いたように、考え方としては有り得るとのことだったが、6月5日の毎日新聞神奈川版によると、現実に事件となったようだ。

  • 不正指令電磁的記録供用:パソコンの操作記録を自動送信、無断でプログラム入れた容疑で再逮捕, 毎日新聞/神奈川, 2012年6月5日

    元交際相手のパソコンにキーボードで打ち込んだ内容を記録して自動送信するプログラムを無断で入れたとして(略)被告(略)=ストーカー規制法違反で起訴=を不正指令電磁的記録供用容疑で再逮捕した。

    (略)昨年10月29日(略)女性(略)のノートパソコンに「キーロガー」などのプログラムを勝手に入れ、キーボードで打った内容を記録し、そのままインターネット上のサーバーに自動送信するよう設定したとしている。

    (略)女性のスマートフォンの位置情報をこれらのプログラムを使って入手し、本人らに居場所を知っていることを伝えるメールを送るなどしたとして、ストーカー規制法違反容疑で逮捕、起訴された。

まさにこういうことがいずれ起きるのではと言われていたが、ずいぶん早く現実になったものだ。

しかしこの記事はちょっと解せない。ノートパソコンにキーロガーを入れたとあるのに、スマホの位置情報を入手していたという。どういうことだろうか。よく見ると「キーロガーなどの」「これらのプログラムを使って」と書かれている。考えられる可能性は以下などだろうか。

  • 可能性A: ノートパソコンに入れたというのは誤報で、スマホに入れた。入れたのは、キーロガー機能の他に位置情報を送信できる機能も持つ総合監視ソフト(「Kidlogger」等)だった。
    (当該ソフトがどういうものか一般的な説明を受けた記者が、そのような行為があったものと混同した可能性。)

  • 可能性B: ノートパソコンにキーロガーを入れたというのは誤りではなく、これによって、GoogleアカウントのIDとパスワードを盗み出し、このID・パスワードを用いてGoogle Play(Android Market)を操作し、位置情報を送信できるアプリ(「カレログ」等)をスマホにリモートでインストールした。

  • 可能性C: ノートパソコンにキーロガーを入れたというのは誤りではなく、これによって、iTunesストアのパスワードを盗み出し、このID・パスワードを用いて「iPhoneを探す」を用いて位置情報を得ていた。

  • 可能性D: ノートパソコンにキーロガーを入れたうえ、スマホに位置情報を送信できるアプリ(「カレログ」等)を入れた。位置情報を入手したことにキーロガーは無関係。

可能性BとCは、不正アクセス禁止法第3条違反も犯したことになるが、そうは報道されていない。この件を伝える報道はこの記事以外に見当たらず、真相は不明である。*2

昨秋の時点では、不正指令電磁的記録の罪に当たらないとする指摘として、「位置情報を取得するといったスマホにある機能を使い、アプリの機能も説明されている。記録を取られることを本人が知らなかったとしても、犯罪には当たらない」*3、「事前に説明されているアプリの目的と違った動作をするわけではなく、ウイルスとまでは言えない」*4といった意見が出ていた(詳細は4月21日の日記「法務省担当官にウイルス罪について質問してきたパート2」参照)が、今回の事件で使われたソフトが、一般に流通している監視ソフトであるなら、そういったものは「子供や老人を見守るため」とか「紛失した自分のスマホを捜索するため」など、正当な用途を掲げて作成・配布されていることが多いので、その場合には、この意見の法解釈の下では不正指令電磁的記録の罪には問えないことになる。

そこを今回、神奈川県警が供用罪で立件したわけである。*5

法務省担当官にウイルス罪について質問してきたパート2」では、供用罪に当たり得るとする考え方が示されたものの、法務省担当官は、「ご質問のソフトをたとえば、ヤクザ、闇金をやっているヤクザが、債務者、高金利で貸している債務者が逃げられないようにするために、その携帯電話に勝手に入れ込んだ」という例を挙げ、「誰が考えても悪いという例」で説明されていた。そのため、「元交際相手の女性に」という程度の事案で、条文にある「不正な」の要件を満たすのかは不明であった。

今回、その点について、ストーカー規制法違反との牽連犯か併合罪のケースではあるものの、逮捕という段階まで進んだ。この後、追起訴に至るのか、裁判でどう判断されるのか、興味深い。

ここはぜひ弁護人には上記の該当しないとする理由を掲げて争って頂いて、明確な判例が残されるのを待ちたい。

*1 「カレログ」は、8月末に登場した当初のバージョンと、後に仕様変更されて改名された「カレログ2」とでは趣が異なる。初期バージョンでは、人のスマホにインストールすることを基本コンセプトとしており、アイコンとアプリ名を偽装し、「どのタイミングで情報取得しているかは彼氏の端末では一切わかりません。またアプリアイコンもGPSの設定画面になっています」として、スマホの使用者に気付かれにくくする細工が施されていた(詳しくは2011年9月11日の日記「話題の「カレログ」、しかしてその実態は。」参照)が、その後、このコンセプトが廃止され、自分で自分のスマホにインストールするのを前提とした「カレログ2」に生まれ変わり、ステルス性も排除された(稼働中はカレログが実行中である旨を常時画面に表示するように改善され、アイコンの偽装も取りやめられた)。今回述べることは、改善される前の初代「カレログ」を前提としたものである。

*2 神奈川県警に、実際はどうなのか教えてもらえないかと電話で尋ねてみたが、教えてもらえなかった。

*3 日経産業新聞2011年9月13日「行動把握アプリ、波紋広がる―「彼」追跡、やり過ぎの声」より。

*4 読売新聞2011年9月16日夕刊「彼のスマホに入れて行動追跡 「カレログ」抗議殺到 アプリ、一部機能中止」より。

*5 位置情報を送信するアプリが対象外で、キーロガーだけが対象とされている可能性も残るが。

本日のリンク元 TrackBacks(8)

2012年06月16日

ダウンロード刑罰化で夢の選り取り見取り検挙が可能に

罰則ないから*1として2010年1月から施行された「ダウンロード違法化」*2。これに今、「2年以下の懲役又は200万円以下の罰金」の罰則が設けられようとしているようだ。

そこで、Winnyネットワークを対象に、どのくらい簡単に利用者を検挙できるようになるか、以下、考察してみる。

これまで、Winnyネットワークでは違法な公衆送信が数多くなされてきたが、刑事訴追はあまり順調に進んでいるとは言い難い状況であった。その原因は、公衆送信の故意の立証が容易でなかったためであろう。

ここは「一次放流者」と「二次共有者」を分けて考える必要がある。一次放流者(最初にWinnyネットワークに流した者)については、発見さえできればそこそこ立件できるようだが、問題は二次共有者(どこかからダウンロードしたファイルをそのまま共有状態にした者)であり、「ダウンロードしただけで自分がそのファイルをアップロードしているとは思わなかった」などと供述されると、公衆送信可能化の故意を立証しにくい。その結果として「アップロード側を検挙すればよい」は非現実的となっていた。

実際、Winnyにおいて二次共有者の起訴はたしか皆無のはず。2008年に、兵庫県警の巡査がWinnyでゼンリンの住宅地図を共有状態にした(二次共有者)として、福岡県警が書類送検したという報道があったが、その事件はその後、不起訴処分(起訴猶予)になっている。

この事件では、被疑者が「誰もが電子地図のソフトをダウンロードできることはなんとなく知っていた」と供述し*3、福岡県警は「巡査はデータをダウンロードすれば自動的に不特定多数が入手できる状態になるウィニーの特性を認識しており(略)公衆送信権侵害に当たると判断」*4したと報道されていたが、それでも起訴が無理だったようで、福岡地検は「たまたまネットで閲覧できる状況だった」とし、「巡査が故意に流出させた可能性は低いと判断した」と報道*5されている。

こういうことがあまりに続けば、この程度の疑いでは強制捜査できなくなってしまう。

このような状況があってか、今もWinnyの利用者数は何万人規模である。Winnyのノード数は年々減少しており(2006年ごろのピーク時の10分の1ほど)、最近の観測値は4万前後であるが、この値はあくまでも過去24時間における数であって、一週間当りの利用者数や、一か月当りの利用者数となると、この数倍から十数倍の数となるはず*6であり、ざっくり見積もって10万人から50万人くらいではないかと推測する。

ここで、違法ダウンロードの刑罰化が実現されると、状況は一変する。違法ダウンロードの立証はわりと容易だからだ。

Winnyでは検索ワードが無作為に流通している。Winnyプロトコル互換のプログラムを用いてどこかのWinnyノードに接続すると、接続しただけで、キー情報(どのファイルを持っているという情報)の他に、検索ワードの情報(どんなファイルがどこにあるかを問い合わせる情報)が流れ込んでくる。たとえば図1のように検索ワードが飛び込んでくる。

画面キャプチャ
図1: Winnyネットワークからコマンド13により検索ワードが飛び込んでくる様子

このように、検索ワードはいくつかのノードを中継して飛んでくることもあるが、そこには中継経路が書かれており、発信元のIPアドレスがわかる。

これを、Winnyクローラーを用いて各ノードを巡回しながら検索ワードを観測するようにすれば、大量の検索ワードについてどこから発信されているかを記録できるだろう。

これらの検索ワードのうちいくつかは、違法化されているダウンロード行為を意図していると疑うのに十分足りるものがあるだろう。これは機械が自動で作り出したものではなく、利用者が手で入力した単語であるだけに、そこにWinny利用者の意思が表れている。

他の方法もある。2009年の7月18日の日記に書いたように、ダミーのキー(当該ファイルを持っているという情報)を散布して、ダウンロード要求が到着するのを観測するという方法である。

たとえば、ジャニーズ系アイドルなど、著作権侵害の被害を親告してくれ易そうな会社の音楽や映像作品のタイトルをファイル名としてダミーのキーを散布すれば、そのタイトルに合致する音楽や映像作品を探して手動又は自動ダウンロードをかけているWinny利用者から、ダウンロード要求(コマンド11のファイル送信要求)が次々と飛び込んでくることになる。

画面キャプチャ
図2: 「WinnyPot」でファイル送信要求の到着を観察
2009年の7月18日の日記の図2を再掲)

画面キャプチャ
図2: ダウンロード要求が到着した様子
2009年の7月18日の日記の図3を再掲)

これらのダウンロード要求は、当該ファイルをダウンロードしようとする故意があるとは限らない(他のファイルをダウンロードしようとして巻き添え的に一緒にダウンロードしようとしてる場合が十分に有り得るし*7、Winnyの中継機能によりダウンロードさせられている可能性もある)けれども、前記の、検索ワードの事実と合わせることによって、嫌疑を補強することができるだろう。

クローラーによる「サイバーパトロール」は既に行われている*8ところ、こうした手法を新たに導入すれば*9、あとは被害の親告を確保することによって、捜査を開始できるのではないか。

一つ一つの事案を個別に捜査していくには手間がかかるだろうが、IPアドレスから当該IPアドレスの契約者を特定すべくISPに照会をかけるところまでは容易にできるだろう。大手数社のISPに照会をかけるだけで、捜査対象の半分くらいの被疑者リストを得ることができるのではないか。

あとはそのリストから、家宅捜索したい対象を好きに選んで、捜索令状が出るだけの証拠を追加すればよい。検索ワードやダウンロード要求の観測を、そのIPアドレスに対して集中的に継続して行えば、証拠固めできる場合があるだろう。そして、パソコンを押収し、そこにWinny利用の痕跡が存在して、検索時のログとダウンロードしたファイルが残っていれば逮捕だ。

はたして警察は、何人くらいの候補者リストから家宅捜索対象を好きに選べるようになるだろうか。

先月ACCS(一般社団法人コンピュータソフトウェア著作権協会)が発表した資料によると、中高生の利用者が増加しており、特にWinnyの利用が多いのだという。

  • 中高生のファイル共有ソフトの利用が増加〜ファイル共有ソフトの利用に関する調査結果まとまる, ACCS, 2012年5月25日

    アンケート調査結果では、ファイル共有ソフトの「現在利用者」は一般消費者4.7%、中学生・高校生7.7%となり、(略)

    2.主に利用しているファイル共有ソフト(現在利用者)

    (略)中学生・高校生がが主に利用しているファイル共有ソフトは、上位から「Winny・Winnyp」44.2%、「BitComet・BitTorrent・μTorrent」16.2%、「Cabos」12.8%、「Share」6.3%「Limewire」4.8%、の順。

    3.ダウンロード経験など(現在利用者)

    (略)中学生・高校生がダウンロード経験のあるファイルのジャンルの内訳は「日本のテレビ番組」68.1%「音楽(テレビ番組以外)」37.0%、「ソフトウェア」11.7%、「マンガ・コミック・書籍・画像」8.8%、「映画・劇場用アニメ」8,5%、「海外のテレビ番組」8.0%、「アダルト関連」6.0%

中高生の7.7%がこれらのファイル共有ソフトを利用しているのだそうだ。中高生の人口は約700万人なので、約54万人ということになる。そのうち主に使用するのがWinny・Winnypと答えたのが44.2%とのことなので、約24万人。この人数は上で示した週間・月間利用者数推測とさほど矛盾しない。*10

利用目的にテレビ番組や音楽が挙っており、それぞれ68.1%、37.0%だそうなので、被害を親告してくれそうなメジャーどころのものをダウンロードしている者が仮に2割前後だとすれば、24万人の中高生のうち、5万人くらいが被疑者となり、大手ISPへの照会だけでISP契約者を特定できるのがその半分とすると、2.5万世帯の家庭が強制捜査の候補となる。

2.5万世帯の関係者はざっと10万人くらいだろうか。国民の1000人に一人くらいが関係者ということになる。

国会議員を例にすれば、全部で722人なので、ちょうど誰か一人くらいのご子息に検挙者が出る可能性があるといったところだろうか。

*1 「「違法ダウンロードは社会正義に反さないが、権利者に悪影響」--文化庁」(CNET Japan, 2009年7月30日)「こうした点について川瀬氏は、「罰則や民事訴訟をもって解決を図るのではなく、まずはルール変更を国民に伝え、著作権への意識を高めてもらうことが大事」と説明。「個人のダウンロード行為が社会正義に反しているということではなく、それらが積もることで権利者などに悪影響を与えているということ。幸いにも日本人は遵法意識が高く、ルールの周知徹底を図ることによる効果は十分に期待できる」とした。 」

*2 著作権を侵害する自動公衆送信をその事実を知りながら受信して行うデジタル方式の録音又は録画(違法に配信されている音楽や映像のダウンロード)のこと。

*3 2008年3月24日のNHKニュースより。

*4 時事通信2008年3月24日「警官が地図データ不正入手=ウィニー使用−著作権法違反容疑で書類送検・福岡県警」より。

*5 共同通信2008年7月10日「兵庫県警巡査を起訴猶予 ウィニーで著作権侵害容疑」より。

*6 これを正確に測定することは困難である。なぜなら、このノード数はIPアドレスで数えており、IPアドレスは頻繁に変わるため、単純に一週間当り、一か月当りのノード数を数えると、同じ人が重複して数えられてしまい、大幅に多めに推計されてしまう。一方、週に一回しか利用しないという人は相当数あると考えられるので、1日あたりの利用者数では、真の利用者数とは言えない。この測定を正確にできたという報告はまだなかったと思う。ある程度実現できそうな方法は思い当たるが、忙しいのでまだやっていない。

*7 2009年の7月18日の日記は、児童ポルノの流通を阻止することが困難とするのが論旨であり、これらのダウンロード要求を観測しても、他のファイルも含めて無差別的にダウンロード(「地引き」ダウンロード)しているのと区別ができないため、そのようなダウンロード者を児童ポルノ罪(当時立法が検討されていた性的好奇心充足目的所持罪(与党案)又は児童ポルノ取得罪(野党案))で摘発するわけにもいかず、流通を阻止するのは難しい(大量のダウンロード者のみ摘発はできるだろうが、それでは流通の阻止という目的は達成されないだろう)としたが、それに比べて今回の音楽や映像作品の違法ダウンロードの場合は、他ファイルを含む無差別的ダウンロードと区別できないとしても、それらもやはり違法ダウンロード(被害が親告されていないにせよ違法)である確率が高い(児童ポルノか否かの確率と比較して)ため、そこを区別しないまま捜査を遂行できるように思える。

*8 INTERNET Watch 2010年2月4日「警察庁が「P2P観測システム」を正式運用」より。

*9 こうした手法がこれまでに導入されていないのかは知らないが、このような捜査手法が適法かというのは論点となり得る。従来のクローラーは基本的に公衆送信している側を観測するものであって、公衆送信する(情報を公開する)側にプライバシーはなく表現者としての責任があったのに対し、検索ワードを観測するとかダウンロード要求を観測するとなると、それは閲覧者側であり、閲覧のプライバシーに関わることになる。具体的な犯罪事実が推定される前の段階で、そのような捜査ははたして許されるのか。

*10 ACCSの発表資料の「クローリング調査結果」で「ノード全数は、約3.4万台と推定」とあるのは、瞬間ノード数か、24時間当りのノード数を指しているものと思われる。これが週間利用者数や月間利用者数に一致しないのは冒頭で述べたとおり。

本日のリンク元 TrackBacks(3)

2012年06月23日

ダウンロード犯罪化で秩序はどう変わるか

ダウンロード、アップロード、匿名、顕名、そしてプライバシー。これらの間の関係はその時々の倫理あるいは法との力学によって形作られている。

振り返ってみれば、10年前、Winnyが誕生したのは、日本が他国に先駆けてアップロード(公衆送信可能化)を刑罰をもって厳しく規制したことによる必然的結果であったし、Winny独自の仕組み(地引きダウンロードによる無差別自動ダウンロード)がこうも躊躇なく普及したのは、欧米と異なり児童ポルノの単純所持が処罰されない日本法の条件下でこそ実現し得たもの*1であった。その結果として、流出したファイルが消せないという環境ができあがり、世界にも類を見ない数々の悲惨な被害が繰り返され、さらには国家的脅威*2すらもたらされることとなったのであった。

アップロードつまり情報を公開することは、表現行為であって、表現の自由がある反面、責任を伴うものであるから、顕名による表現が歓迎されたり匿名による表現が忌避されたりする。対して、ダウンロードつまり情報を見ることは、匿名でいられるのが普通であり、顕名であることが求められる理由はなかった。ダウンロードにプライバシーを求めるのは自然なことであり、それが否定される理由はなかった。

まさにNyzillaはそのような倫理の上に設計された。つまり、公衆送信している者は自分が公衆送信している事実を自覚して責任を持つべきであり、そこにプライバシーは否定されるのだとの考えに沿ったものであった。その一方、接続先ノードが何を検索しているのかという情報は(受信してしまうが)表示しないように設計されている。

日本は10年以上もの間このような倫理の上を歩んできた。そこへ寝耳に水の著作権法改正である。10月から一部のダウンロードが犯罪となるのだ。いかなるファイルもダウンロードが犯罪となることはなかったところ、この変更は大きい。このことがこれまでの倫理をどのように変更し、どのような秩序をもたらすであろうか。

ダウンロードの一部が法によって犯罪となれば、場合によってそこにはプライバシーは成立しないことになるのだろうか。つまり、ファイルを公開する行為だけでなくファイルを取得する行為までもが「責任を持つべきもの」となって、「人々が責任あるファイル取得をしているか」が監視対象となることが肯定され、そこにプライバシーは否定されてしまうのだろうか。

日本弁護士連合会は昨年12月、「違法ダウンロードに対する刑事罰の導入に関する意見書」を出しており、以下のように、「私的生活領域に対する刑事罰導入だ」として批判していた。

特に、私的生活領域における刑事罰導入は、人間の行動の自由に対する広汎かつ重大な制約を課すものであり、その導入は、特に慎重であらねばならない。

現在議論されている違法ダウンロードに対する刑事罰導入は、まさに、個人の私的生活領域におけるダウンロードに対して刑事罰を科そうとする議論であり、これを是認すれば、国家権力が私的領域に直接入り込む余地を与えることになるものである。

違法ダウンロードに対する刑事罰の導入に関する意見書, 日本弁護士連合会, 2011年12月15日

これに対し、「ダウンロードは私的領域ではない」とする反論が、推進派の業界団体から密かに議員に渡されていたようで、津田大介氏がその資料を以下で提供してくれていた。

  • 「違法ダウンロードへの罰則導入」に関するQ&A, 著者不詳

    Q16: 「刑法の謙抑性」の原則からみても、私的領域における行為に対する刑事罰の導入には極めて慎重であるべきではないか?

    ⇒ 「違法ダウンロード」は、不特定多数の者に対して行われる違法な送信を、「インターネット」といういわば「公道」上で取得して行うものであって、特定かつ少数の者の間の送信を受信して行うものではありません。この行為は、盗品マーケットで盗品を取得することに比すべきものであって、それに対して刑事罰を科すことは、「国家権力が私的領域内に直接入り込む余地を与えるもの」には当たらないと考えます。違法ダウンロードが個人の自宅等で行われることに着目して「私的領域における行為」としているとすれば、インターネットオークションに出品されている盗品を、その事実を知りながら、かつ個人的に使用する目的で自宅のパソコンを通じて落札して取得する行為も、私的領域における行為となるでしょう。しかし、そのような行為は、刑法上の盗品等譲受罪として処罰されるのであり、そのことは「国家権力が私的領域内に直接入り込む余地を与えるもの」ではありません。「違法ダウンロード」についても同様です。

インターネットは「公道」だから公道で行われるものは私的領域の行為ではないのだそうな。

おいおい、インターネットはたしかに公共インフラではあるが、公道と言うべきものではない。誰に見られても文句が言えないという意味で「公道」というのであれば、それは、Webサイトなどの場のことであって、電気通信事業者の取扱中に係る通信のことではないはずだ。もし、「公道であるインターネットを通じて注文しているのだから私的領域の行為でない」などという理屈がまかり通るようになったら、DPI広告でも何でも勝手にやり放題ということになってしまう。

まあこの点については、この著者不詳の文書は「インターネット」=「ホームページ」(Webサイト)という感覚で書いたものなのだろう。Webサイトは「道」ではないが公の場であるのはその通りだ。

そこは読み替えてあげるとして、では、「公道であるWebサイトを通じて取得して行うものは私的領域の行為ではない」というのはどういうことか。

なるほど、つまりこういうことだ。

現在のところ、違法に配信されているYouTube動画を閲覧する行為(A)は違法ではないが、ストリーミングで提供されている動画を閲覧者側でファイルとして保存する行為(B)は「録画」に当り違法と言われている。これには異論もあるらしいが、ストリーミング動画を閲覧するだけなら著作権法の言う「録画」に当たらないという解釈だろうか。

そのとき、「公道」であるところのWebサイト上で何が起きているかは(A)も(B)も同じである点に注意したい。違いは、自宅パソコン上で「保存」をするかしないかの違いだけである。

日弁連の指摘は、自宅パソコン上で保存が行われるところを指して「国家権力が私的領域内に直接入り込む余地を与えるもの」と指摘したのだと思うが、著者不詳の文書はその点を意に介さず、公道を通じて行われるものは私的領域の行為ではないと否定した。

ということは、著者不詳文書の業界団体は、閲覧者側の保存行為の有無によらず(A)も(B)も犯罪とみなしているということではないか。

ネットオークションを通じた盗品譲受に「見るだけ」ということはあり得ないわけで、それにもかかわらずこの文書は、ダウンロードを盗品譲受と同一視し「同様です」としている。単にこの文書の著者が論理上間違えただけなのならいいが、本気でそのように考えているのなら、(A)も犯罪とみなしているということではないか。(そうでないのなら、閲覧者側で保存するかしないかはやはり私的領域であるはず。)

今後、見るだけであっても責任を問われるようになってしまうのだろうか。人民が「責任ある視聴」をしているか、監視の対象となってしまうのだろうか。

*1 2009年7月20日の日記参照。

*2 警視庁公安資料流出放流事件のこと。

本日のリンク元 TrackBack(1)

2012年06月30日

追跡されない自由を奪う技術を肯定的に捉えた珍しい学術論文の例

行動ターゲティング広告がオプトアウト方式で概ね許容されてきたのにはいくつかの理由がある*1が、その一つは、cookieはいつでも消去することができ、閲覧者側で追跡から逃れることができるからというものであった。実際、行動ターゲティング広告を展開している事業者は、そのようなエクスキューズ*2をしていることが多い。

しかし、cookieを消しても、ブラウザの特徴的な挙動、たとえば、User-Agentが特殊なものであったり、利用しているプラグインのリストなどから、ある程度の確率で閲覧者を追跡できてしまうことが、研究成果として発表された例がある。

  • Peter Eckersley (Electronic Frontier Foundation), How Unique Is Your Web Browser?, Proceedings of the Privacy Enhancing Technologies Symposium (PETS 2010), LNCS 6205. (2010)

    We discuss what privacy threat browser fingerprinting poses in practice, and what countermeasures may be appropriate to prevent it. There is a tradeoff between protection against fingerprintability and certain kinds of debuggability, which in current browsers is weighted heavily against privacy. Paradoxically, anti-fingerprinting privacy technologies can be self-defeating if they are not used by a sufficient number of people; we show that some privacy measures currently fall victim to this paradox, but others do not.

これがElectronic Frontier Foundation (EFF)における研究であることからわかるように、これは、閲覧者を追跡できてしまうことを実証することによって、リスクを社会に知らしめ、自衛策をとることを促したり、技術的な対策あるいは法的な対処の必要性を訴えることを意図した論文であろう。アブストラクトにも上に引用したように書かれている。

同様のことは、セキュリティの攻撃手法を研究する場合にも見られる。攻撃手法を研究して発表することは、防衛のために必要であり、防衛のために研究するのが当然であろう。仮にいくら、研究実施者の真の動機が「技術的に面白いから」にすぎないことがあったとしても、論文ではあくまでも防衛の必要性を説く体裁をとるものだ。

ところが、情報処理学会論文誌に、追跡されない自由を奪う技術を肯定的に捉えた珍しい論文が掲載されているという話を、知人の弁護士さんのつぶやきでこの5月に知った。

  • 上原(略), 水谷(略), 武田圭史, 村井純, ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2, pp.461-473. (2012) (受付日 2011年5月23日,採録日 2011年11月7日)

    近年,インターネットを介した各種サービスにおいて,ユーザごとの行動履歴や趣味趣向に応じた最適化されたサービスを適時に提供することで,新たな付加価値を生み出すための取組みが行われている.実際にこのようなサービスを利用するためには利用者が専用のアカウントを登録するといった特別な操作が必要である.また,従来ホストの識別にIPアドレスやMACアドレスが利用されているが,IPアドレスはネットワーク環境によって変化し,MACアドレスは詐称可能であるため,継続的にホストや所有者を特定できないそこで本研究では,特定のユーザが利用するデバイスごとに,ユーザの利用形態によって特徴的なトラフィックパターンが現れるかを事前に調査した.そして,その結果を用いてネットワーク上に発信されているパケットのヘッダ情報を収集,解析することでホストおよびユーザを特定する手法を提案した.本提案手法において,ユーザが発信するパケットのペイロード情報はプライバシ侵害の懸念があるため,パケットヘッダ情報のみを収集することでホストおよびユーザを特定することを目的とする.そして,200人ほどが参加するカンファレンスや学術ネットワークにおいてユーザの許諾を得たうえで実験を行い,ホストやユーザを本手法によって特定可能であることを示した.これよって,サービス提供者はユーザに特別な操作や設定などを求めることやデバイスの制約などを受けることなく,ユーザごとに特化したサービスを提供できる可能性を示した.

このアブストラクトからは、肯定的に捉えているとしか読めない。「MACアドレスは詐称可能であるため」という理由を挙げていることから、本人がどんなに追跡から逃れようとしても逃れることのできない技術を求めていることが窺われるし、「プライバシ」という言葉は出てくるものの、「パケットのペイロード情報はプライバシ侵害の懸念があるため,パケットヘッダ情報のみを収集する」と書かれており、ヘッダ情報ならプライバシー侵害に当たらないと考えている様子が窺える。

本文はどうなっているのか、情報処理学会論文誌Vol.53, No.2を読んで確認してみた。

まず、「1.はじめに」は、ほぼアブストラクトの繰り返しだが、最後の部分に以下の記述がある。

1. はじめに

(略)

本提案手法ではネットワーク管理者などネットワーク上のトラフィックを取得できるユーザが,法的観点やネットワークの制約上ペイロードを見ることができない状況での情報収集を想定する.本提案手法によって,個人情報を直接取り扱うことなくまた通信内容を直接的に取得せずにユーザが使用する機器やユーザを特定することが可能となる.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

「通信内容を直接的に取得せずに」とのことだが、いったいどういう方法で実現するのだろうか。

この「1. はじめに」に続くのは「2. 関連研究」の節であり、既存研究から「ユーザ特定手法」と「ホスト識別」に関する文献を挙げて比較検討がなされている。そこに挙げられている文献は、追跡をプライバシー侵害と捉えて対策を促す趣旨のものなのだが、この論文はその点に触れながらもそれを意に介さず、「この手法は汎用性に欠ける」とか「制約がある」と主張する。

2.2 Web上の情報とホストを結びつけるユーザ特定手法

ソーシャルネットワークサービス (SNS) を利用したプライバシの脅威を調査した研究にKrishnamurthyらによる研究[4]があげられる。この研究はユーザがSNSに登録する情報とSNSから発行されるThird-party Cookieを解析することで、個人とIPアドレスを結びつける手法とそのリスクを提唱している.他にも,松尾らによるWeb検索エンジンを利用したユーザプロファイル手法[5]や、本村らによるネットワーク上の情報を利用して,プライバシを侵害や対策についた手法【原文ママ】*3[6]が提案されている.しかし,これらの研究は対象ユーザがWeb上に情報を公開していない場合はこの手法は利用できず,汎用性に欠ける.

2.3 ブラウザ情報を利用したホスト識別

ブラウザの情報を利用することでユーザの識別が可能か検証する研究にElectronic Frontier Foundationによる研究[7]があげられる.この研究ではHTTPにおけるUser Agent string,プラグインのバージョンやフォントの設定などのデータを総合して,ホストを識別する.そして,ユーザのブラウザ情報を収集したデータベースをもとに,識別するプログラムを公開することで,ユーザにWeb閲覧などの情報を利用したトラッキングや広告に対する脅威を周知することを目的としている.ブラウザ情報といった普段意識されない情報を利用してホストを識別する方法は,本研究と類似するものがあるが,特定のブラウザしか情報を取得できないことや,HTTPを利用しないホストの識別ができないという制約がある.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

一般に、情報システムにおけるプライバシーに配慮した設計というのは、利用者が自分で、自分の情報がどう扱われるかをコントロールできるようにするというものであろう。たとえば、OAuthやOpenIDを用いて認可やID連携の制御をするときに、利用者にボタンを押させて本人に選択させるのはそのためであるし、ユーザ登録してログイン/ログアウトさせることが結果的に利用者選択をもたらしているとも言える。しかし、この論文は、「ユーザに特別な操作が必要となる」ことを負の面と位置付け、それを排除することを試みている。

このことについて、次の「3. デジタル情報の収集によるホスト,ホスト利用者の特定とその課題」の節は、次のように主張している。

3. デジタル情報の収集によるホスト,ホスト利用者の特定とその課題

(略)

そして,ユーザがデバイスを持ち歩くようになり,ユーザに特化した情報を提供するサービスの需要が高まっている.たとえば,情報のレコメンデーションやユーザのライフログなどがあげられる.

しかし,これらのサービスを利用するためにはユーザアカウント登録や,専用デバイスの利用などの制約が存在する.そのため,サービス提供者はユーザに特別な操作や設定などを求めることなくサービスを提供することが求められている.従来,機器の識別にはIPアドレス,MACアドレスやCookieなどの識別子が利用されている.しかし,IPアドレスは可変であり,Cookieなどを利用したホストの識別においても,ホストがCookieを受け入れない場合や,ユーザがCookieを削除することができるため,継続的にホストを追跡することが難しい.また,機器の識別子として利用されているMACアドレスは詐称が容易に可能である.さらに,近年普及しているノートPCなどは有線や無線といった1つの機器に複数のMACアドレスが付与されている場合が多い.そのため,有線と無線のインタフェースを持つ1台の機器を複数の機器として判断してしまう問題がある.これらの問題に対応するためには,IPアドレスやMACアドレス,Cookieなどの識別子以外で機器を特定できる方法が必要である.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

それにしても、パケットのヘッダからどうやって利用者を識別するというのだろうか。その実現手法は「4. パケットヘッダ情報によるプロファイル手法」の節に書かれている。

4. パケットヘッダ情報によるプロファイル手法

ネットワーク管理者は,管理しているネットワークにおけるユーザの発信するパケットの情報を容易に取得できる.一般的なネットワークでは,セキュリティ対策やネットワークの運用の関係上,管理ネットワークと外部のネットワークとの中継点でトラフィックを監視できる場合が多い.しかし,ペイロードを取得する場合は電気通信事業者法などの観点からユーザ全員の同意を得なければならないそこで,ペイロードを除いたパケットのヘッダ情報からホストを特定する手法を提案する.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

電気通信事業法の通信の秘密侵害のことは意識にあるようだが、「ペイロードを除いたパケットのヘッダ情報からホストを特定する」というのはどういう方法なのか。これは、次のように書かれている。

4.1 事前実験

特定のユーザが情報を利用するデバイスにはユーザの利用形態によって発信する情報に特徴的なトラフィックパターンが現れる可能性が高い.そのトラフィックパターンを取得,解析することによって,デバイスの追跡が可能かどうかの事前実験を行った.

(略)

まず,発生頻度の高い識別要素にメールサーバの接続先情報があげられる.メールサービスは多くのユーザが利用し,複数メールサーバに接続しているホストは容易に絞り込みが可能であることが分かった.ホスト候補B, Cは複数のメールサーバにアクセスしており,メールサービスの利用および接続先サーバを識別要素とすることで,ホストBは2台まで,ホストCは32台まで絞り込むことができた.そのため,取得が容易かつ判別能力は高いといえる.次に,リモートログインもコミュニティによっては比較的使われやすいサービスである.取得の容易さはメールサーバ接続情報と比較した場合には劣るが,容易に取得でき,ホストごとに差異が出やすいことが分かった.ホストA, CはSSHを利用しており,メールと同じく接続先サーバを識別要素とすることで,ホストAは13台,ホストCは16台まで絞ることができた.このことから,メールよりも発生頻度は低いが,ホストの分類は容易にできるため,識別要素として利用できることが判明した.そして,OS情報はWindows,MacOSX,Ubuntuであれば取得可能であるが,OS情報はホストの絞り込みを十分にできなかった.そのため,メールやリモートログインと組み合わせて利用することでホスト判別基準の1つとして利用することが望ましいことが分かった.

(略)

4.2 判別手法

4.1節おいて,各ホストは利用状況に応じて,それぞれ特徴的なパケットを送受信していることが分かった.そこで,パケットのヘッダ情報からは,送信先,発信元IPアドレス,ポート番号,発信タイミング,利用サービスなどの情報を取得,組み合わせることで,プロファイルを作成しホストを識別する手法を提案する.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

「特徴的なトラフィックパターン」というのが何だろうかと思ったら、なんのことはない。どこと通信しているかを調べているというわけだ。具体的には以下の記述がある。

利用サービス,アプリケーション利用時の接続先サーバも識別要素として利用できる.企業や大学に所属するユーザは,その組織が提供するサーバを利用するため,ユーザが利用したリモートログインサーバやメールサーバを基準とすることで,ホスト利用者の所属する組織,団体ごとにホスト群が作成できる.本論文では接続先サーバごとに分類したホスト群をホストの所属するコミュニティと定義する.それらの情報を取得し,ホストのコミュニティを識別要素とすることでホストを判別する.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

続く「4.3」節には、公共の場で検証実験を行ったとの記述がある。

4.3 検証

パケットヘッダ情報によるホストを識別手法の検証を2つの環境で実施した.表2に検証環境を示す.まず,1つ目の検証は,200人以上の様々な企業や大学といった組織のユーザが参加するカンファレンスで行った.カンファレンスでユーザへのネットワークはすべて無線で提供されており,ユーザが保持するホストが発信したパケットヘッダ情報を収集して,特定を試みた.本手法の有効性を確認する実験をした期間は2009年9月7日17時44分から9月9日16時8分までである.次に,(略)

4.3.1 カンファレンスにおける検証

200人以上が参加するカンファレンスにおいてパケットヘッダ情報のみを利用した手法で,筆者の所属する研究会のメンバー6人が利用しているホストを特定できるか検証をした.対象のユーザのホスト情報は事前に収集し,カンファレンスで観測した246台のホストから,該当ホストを発見できたかどうかで検証する.(略)

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

カンファレンス会場で3日間にわたって無線LANの傍受を行ったようだ。

ところで、「200人以上が参加するカンファレンス」で無線LAN傍受をするに当たり、カンファレンス参加者の同意を得たのだろうかという疑問が湧いてくるが、この点について本文中には説明がない。この点については、アブストラクトに「200人ほどが参加するカンファレンスや学術ネットワークにおいてユーザの許諾を得たうえで実験を行い」と書かれているのみとなっている。*4

次の「5. ホストとユーザを結びつける手法」の節では、パケット傍受で特定したホストをその利用者個人と紐付けるために、次のことなどが提案されている。

本手法は,パケットヘッダ情報による識別でホストを一意に特定できた場合を想定し,特定できたホストとユーザを結びつける.具体的な方法として,ターゲットとするホスト所有者が特定の時間,ネットワークを利用している情報,もしくは利用していない情報をホストの情報と組み合わせてホスト所有者を特定する.ターゲットとするホスト所有者の在席情報を確認する方法は複数存在する.たとえば,情報収集者が,直接ターゲットのホスト利用者がネットワークを利用しているかを視認や,会議の出欠名簿などのリストから判断する,同じ場所でターゲットのホスト利用者と一緒にいたユーザがその情報を伝達,もしくは監視カメラなどにターゲットが映っている情報などを利用することがあげられる.(略)

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

法的な検討はされていないのかと、もう一度よく読むと、「3. デジタル情報の収集によるホスト,ホスト利用者の特定とその課題」の節に以下のように書かれていた。

本論文ではユーザが普段インターネット上に発信しているパケット情報を,ネットワーク管理者が観測し,組み合わせることでホストやユーザを特定する手法を提案する.本提案手法で利用する情報は,普段ホストが送信しているパケットヘッダ情報である.2010年度総務省においてDeep Packet Inspectionによるターゲッティグ広告の技術が取り上げられた際[9]に,ペイロードを取得することについて議論が巻き起こっている.そのため,ペイロードは取得せずにパケットヘッダ情報のみ取得することで,この制約を外すことや,ペイロードの取得に比べてユーザの同意が得ることが容易となる.本論文で述べるパケットヘッダ情報とは,IP,TCP,UDP,ICMPヘッダのことを指す.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

ペイロードを見なければ合法と考えている様子が窺える。ヘッダだけと言うが、無線LANのIEEE802.11フレームのことならまだしも、TCPやUDPのヘッダを見ているというのだから、それは当然、通信の中身であり、総務省諸問題研の第二次提言にあったDPI広告の違法性検討に対して「この制約を外す」などということにはならない。*5

最後の節「6. 考察と今後の課題」で何か検討していないかと読み進めて行くと、そこに書かれていることは、「実際に事前にプロファイルを作成した3台のホストに関して,本人拒否率は100%であり,他人受入率は0%という検証結果が出た」とした後、「しかし,重要な識別要素となったSSHやIRCは,メールやWebブラウジングのみのユーザも存在するため,SSHサーバを利用しないようなユーザの特定も必要である」だとか、「本手法が対象とするアプリケーションの追加や,特徴の抽出をさらに細かく検討する必要がある」という課題が出てくるばかりだった。法的、倫理的、道義的課題についての記述は、この節の最後にあり、以下の取って付けたような段落のみであった。

本手法によって,サービス提供者はユーザに意識させることなくサービスを提供できる反面,ユーザプライバシに配慮する必要がある.本手法により,パケットヘッダ情報のみでホストの追跡が可能であるため,トラフィックデータの収集や譲渡の際にはユーザの同意を得る,オプトイン形式にするなどサービス提供者はユーザプライバシの配慮が求められる.

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

収集したデータの譲渡まで想定したようだが、これは「プライバシーの配慮が求められる」などというレベルではなく、通信の秘密侵害の違法行為かの問題である。無線LANを傍受して窃用するなら電波法59条違反であるし、構内LANのルータなどで収集するなら有線電気通信法違反に当たる場合が多いだろうし、電気通信事業者の取扱中に係る通信に対して行うのなら電気通信事業法違反である。

合法に実施するため、利用者の個別かつ明確な同意を得てするつもりであるなら、その手間を惜しまないはずであるから、そうならば、利用者にログインさせたりID連携させればよいわけで、この提案の必要性が崩れる。

そして、まとめの「7. 結論」には、お決まりの台詞が出てくる。

7. 結論

本論文の目的は,個人情報と定義されていない情報を効果的に活用することによって,ホストやホスト利用者を特定し,利用者を追跡することである.これによって,サービス提供者はユーザに合わせたサービスの提供ができ,ユーザも意識せずにサービスを利用することができる.

パケットのヘッダ情報を利用する手法では,MACアドレスを除くパケットのヘッダ情報から各ホストのプロファイルをもとに,該当するホストを特定した.(略)

ネットワーク通信情報の収集によるユーザ追跡, 情報処理学会論文誌, Vol.53, No.2

個人情報保護法の「個人情報」でなければ何をやってもいいという汚染は、とうとう(日本では)学術界にまで及んでしまった。これが極めて例外的な事案にすぎないことを信じたい。

*1 第三者cookieで与えられるトラッキング用IDの値は、仮にサーバから流出したとしても流出先では他の情報を紐付けることができないという意味で匿名IDであるし、唯一他の情報と紐付けられるのはその第三者cookieの発行元サーバ上においてだが、DoubleClick訴訟における和解条件の一つにもあったように、アドネットワーク事業者はそのような紐付け(実名との紐付け)を行わないことを約束することによって、オプトアウト方式が許容されてきた。

*2 プライバシーポリシーのcookieに関する説明で「cookieはいつでも消去することができます」と書かれているのをよく目にする。

*3 「プライバシを侵害や対策についた手法」は誤字があって意味がわからないが、文献[6](この論文は1998年発表)を確認してみると、その内容は「民間を対象とするプライバシー保護法が存在しない我が国では,学校・企業・学会等の名簿を販売する業者が公然と存在し,情報統合によるプライバシー侵害の恐れは,より拡大する.本論文では,具体的を用いて侵害の可能性を示し,併せて,対策について考察する.」といったものであることがわかる。

*4 「許諾を得て」というが、拒否することはできたのだろうか? 実験されるのを拒否した人がいたとしても、それを区別して傍受するしないを分けることはできないのだから、実験用SSIDと通常用SSIDの2つを用意してチャンネルを分けるなどする必要があると思われるが、そのようなことは行われたのだろうか。

*5 ISPのルータがIPヘッダをみてルーティングするのさえも、一旦は通信の秘密侵害とされ、正当業務行為として違法性が阻却されて、適法行為となっているにすぎない。

本日のリンク元 TrackBacks(2)

最新 追記

最近のタイトル

2024年12月07日

2024年12月02日

2024年11月24日

2024年11月11日

2024年07月28日

2024年07月27日

2024年07月07日

2024年04月07日

2024年04月01日

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|04|07|11|12|
最新 追記