某政党から自宅に電話が来た。
という。高木さんのお宅ですか? ○○党です。今度の国政選挙にあたって、何か政治に望むことがあったら教えてください。
最初のうちは「それを言うとどうなるのですか?」などと言ってみて、相手の出方をうかがっていたのだが、相手はもごもごして明確な回答をしない。そこで、「じゃあ、言いましょう。」と、私は次のように述べた。
住民基本台帳法第十一条の規定により、市町村長は、誰の請求であっても住民基本台帳の閲覧を基本的に認めなくてはならないことになっていますが、企業、政党、団体などが宣伝の目的で大量に写しをとっていくことが起きていると聞いています。この法律ができた当初は、コンピュータやネットワークが存在していなかったでしょうが、ITが発達した現代では、大量の住民基本台帳データを低コストで高速に処理することができるようになったわけですから、昔とは違った使い方ができてしまうようになっていると考えられます。もはや今の使われ方は、市民感覚からかけ離れてしまっているという声が出ているようです。
そういう状況があるわけですが、あなたは私の電話番号をどこでお知りになりましたか? 電話帳には載せていないのですが。
それから、あなたは今、私に政治的信条を尋ねるにあたって、プライバシーポリシーを明示しませんでした。あなたは私の氏名を知った上でこの電話番号に電話しているのですから、私がここで述べたことは、誰の主張であるかをあなたは記録可能な立場にいます。しがたってあなたはまず、電話の冒頭で次のように述べるべきでした。
高木さんのお宅ですか? こちらは○○党です。今度の国政選挙にあたって、有権者の皆様の国政に対するご意見をうかがっているところです。高木さんのこの電話番号は、○○の方法によって入手した名簿をもとにしたものです。今回の選挙が終了ししだい、この名簿は破棄することにしています。これから高木さんのご意見をお伺いしたいのですが、その前に、プライバシー情報の取り扱いについて説明いたします。これからお話しいただくご意見は、当方でメモをとって記録しますが、この際に高木さんのお名前や電話番号は記録せず、誰の意見かはわからないようにすることをお約束します。ご希望とあらばお名前を記録することもできますが、どちらを選択なさいますか?というわけで、とりあえずどこでこの電話番号を入手したのか答えてください。
「自分は知らないので調べて回答する」とのことだったが、まだ電話はこない。
CNETの記事「英当局、企業に対して「なりすまし」の警告」によると、
先月、NatWest、Lloyds TSB、Barclays、Citibank、Halifaxの各銀行で、各々のインターネットバンキング利用者にある電子メールが届いた。利用者の目には、口座を持っている銀行から来たように見えるその電子メールには、銀行公式サイトに模した偽造サイトに利用者を導くためのリンクが貼られていた。そして、さらにその偽造サイトは、利用者のユーザー名とパスワードを聞き出すためにつくられたものだった。
のだそうで、6月2日の日記や7月19日の日記にも書いた脅威が、英国では烈しく現実の事態となっているようだ。日本では当分先のことなんだろうか。日本はまだ、架空請求とかオレオレ詐欺とかいう、「レベル0」の段階。それに誰もひっかからなくなったときに起きはじめるのだろうか。
ちなみに、「乱数表があるから大丈夫」というのがあてにならないことは、7月22日の日記で書いたとおり。自分の使っている銀行の乱数表システムが大丈夫かどうかは、誰でも自分で確かめられるので、やってみるとよい。
「なりすまし」に対する基本的な予防措置として、各社が手始めにできることは、社名を使ったあらゆる組合せのドメイン名を手に入れることだ。
それはなんだか違うんでないか? ドメイン業者はますます儲かりますな。
NCISの報道官は、ZDNetUKに対して、ユーザーは郵便システムと同じくらいは電子メールシステムについての知識を持つことが必要だと語った。「切手にはミシン目が入っていることや、業務用封筒の外見的特長については皆が知っている。だから、もし企業から届いた封筒が手書きだったら『ちょっとおかしいぞ』と考える。ところが電子メールの場合は、異常を知らせる目印があるのに、皆はその目印の見つけ方をまだ習得していない」(同報道官)
目印って Received: のこと? そんなのを見るより、メールを信用しないことを徹底して、WebにアクセスしてSSLのサーバ証明書を確認するようにすればよい。
関連記事: 「新生銀行ネット・バンキング、Google新サービスの影響で意外なトラブル」だそうだが、そもそもポップアップでログイン画面を出すような銀行は、顧客を上のような詐欺に騙されやすくしている。このことはもう何年も前から言っているのに、いっこうに改善されない。新生銀行が今回のGoogleツールバー対応として、小手先の修正にとどめるか、ポップアップウィンドウをやめてアドレスバーを隠さないという本質的な解決を図るかが見ものだ。日経コンピュータにもそのくらいまで突っ込んで欲しいところ。まあ、事件が起きてからしか書かないだろうけど。
「顧客に選ばれるEメールマーケティング」という本の著者として知られる(と聞く)鶴本浩司氏から、「読めないメールが続出!?最新の「Outlook 2003」とその応急対策」という記事が出ていた。6月14日の日記にも書いた、Office 2003のOutlookではデフォルト設定で外部コンテンツの参照が遮断される件が、いよいよ現実になってきたという話だ。さて、この事態をメールマーケティングのコンサルタントはどのように語るだろうか。
ついに「あの新機能」を搭載したソフトウェア「Outlook 2003」がリリースされた。...(略)
気になっていた「あの新機能」とは、「プライバシー保護機能」である。本来、HTML メールは、開封したりプレビューした際に、 Web サーバーから画像やロゴをダウンロードして表示する。ところが今回リリースされたバージョンの既定(デフォルト設定)では、このダウンロードを阻止する設定になっている。
これはどういうことかというと、メール本文中の画像部分は表示されないということだ。それがたとえ許諾を得た(オプトイン手続きを経た)メールでも、 HTML メールである限り例外ではない。その代わりにその画像部分に次のようなメッセージが表示される。 (略)
鶴本浩司, 「読めないメールが続出!?最新の「Outlook 2003」とその応急対策」, Japan.internet.com Webマーケティング
「これはどういうことかというと」に続く説明は、期待される「なぜプライバシー保護なのか」ではなく、結果としてどのような現象が起きるかが書かれているにすぎない。はたしてこの著者がこの機能の意義を理解しているのかどうか、この文面からではわからない状態になっている。むろん、その道のプロなのだから理解なさっていると解釈するのが妥当だろう。単に、わかりきったことだから書いてないということなのかもしれない。
しかし、この記事の読者であるマーケティングに携わる人たちもそれを理解しているかは疑問だ。消費者あってのマーケティングであることは鶴本氏も説いてきたところだと思うが、現場でマーケティングに携わる人たちが、わけもわからず「プライバシー保護機能」に反感を覚え、ユーザに適切な説明をすることなく機能をオフにすることを推奨したりしないか、心配になる。鶴本氏の記事にも反発の感情が見え隠れする(「唖然とする」「ふう…」「文章にするだけでもウンザリする作業だが」「例の憂鬱な文字列」などの表現から)だけに心配だ。ちなみに、冒頭の「リリース」の部分でリンクされている記事「『Outlook 2003』でメール開封率はどう変わる?」という海外記事では、米国のメールマーケティング業界が冷静に受け止めていることがうかがえる。
鶴本氏は、
それがたとえ許諾を得た(オプトイン手続きを経た)メールでも、
鶴本浩司, 「読めないメールが続出!?最新の「Outlook 2003」とその応急対策」, Japan.internet.com Webマーケティング
と述べているが、許諾といっても、単なるオプトインとは話が違う。Webバグによる個人特定を含めて許諾しているかどうかは疑問だ。そこまで説明して同意を得ているメールマガジンがどれだけあるだろうか。
「開封率」について次のようにある。
もし読者(ユーザー)にとって関係性の薄いメールだったとしたら、果たして前述のような煩雑な作業をしてくれるかは大きな疑問だ。それは今後、加速的に低下していくであろう開封率からも読み取ることができるだろう(向こう1年間でマーケティング担当者が愕然とする場面でもある)。
鶴本浩司, 「読めないメールが続出!?最新の「Outlook 2003」とその応急対策」, Japan.internet.com Webマーケティング
開封率が低下していくというよりも、今までの「開封率」と称するものが真の開封率ではなかったというだけだろう。なにしろ、プレビューしただけで開封としてカウントされていたのだから。「Webバグを使った開封率計算」という、ITバブル期に発明されたメールマガジン業者の武器が、じつは実態からかけ離れた計算だったことが露呈して、ようやく正しい開封率に近づくということだ。
いよいよ、いかにして顧客のエンゲージを得るかが重要になってくる。保有するアドレスの絶対数(クアンティティ)崇拝の時代は終わり、これからは質(クオリティ)重視の時代である。
鶴本浩司, 「読めないメールが続出!?最新の「Outlook 2003」とその応急対策」, Japan.internet.com Webマーケティング
そんな時代があったことに唖然とする。人々のプライバシーはそういう人たちの手に預けられている。
関連記事: 「ウェブパーソナライゼーションを酷評するレポート発表」
「Beyond the Personalization Myth(パーソナライゼーション神話を超えて)」と題する米Jupiter Researchによるレポートは、収集した情報に基づいて顧客毎に提供する情報を変えるウェブサイト・パーソナライゼーションについて、「高価で非生産的だ」とこき下ろしている。...(略)
同レポートは、パーソナライゼーションには効果がないだけでなく、驚くほどコストがかかると批判している。 ...(略)
同レポートには、パーソナライゼーション計画が期待外れに終わった企業の逸話が散りばめられている。
という話もある。
日経コンピュータの「温泉でのICタグ応用は確立、今後は温泉の外にも展開」という記事には、以前から実用化されていたRFIDタグの公衆浴場での利用について、
腕時計型のICタグは現在回収しているが、今後はそれを利用者に持ち帰ってもらい、会員カード代わりにする。
とある。
公衆浴場でRFIDタグを使うのは合理性が高い。元々、ロッカーの鍵を腕に巻くのであるから、それをコーヒー牛乳などの決済にも使うのは都合がよい。浴場を出るときに返却するのであれば、個人追跡はその場限りで途切れるのでプライバシー懸念は最小限に抑えられる(入場時や退場時に住所氏名を書かないのであれば)。
それを「持ち帰ってもらい会員カード代わりにする」という。それをやって本当に利益があるのだろうか。
ちなみに、ロッカーの鍵としてRFIDタグを使う場合、リプレイ攻撃によるなりすましを防ぐ必要がある。現在のところリーダ関連製品が普及していないからさほど問題にならないが、そうした機器が普及した暁には、そうした攻撃の可能性が無視できなくなるだろう。この記事には、
ソニーのFelicaをベースにアプリケーションを構築している。
とあるので、リプレイ攻撃を防げるような暗号技術が使われているのだろう。RFIDタグとRFIDカードとの境界がなくなってきているということだろうか。
さらには、
「腕時計型ICタグを施設内だけでなく、他の箱根にある施設でも使えるようにしたい。小田急などの乗車券も兼ねられるようになっても面白いと思う」と講演の最後に述べた。
とある。FeliCaを使うのであれば、カードアプリケーションを別々にすれば、温泉利用と小田急利用をまたがってトラッキングされないようにできるかもしれない。ただし、FeliCaがアンチコリジョン用に固定のIDを使用していないのならばだが。
「Tea Room for Conference in academic officeのNo.1604」より:
先日日立のμチップの関係者と議論する機会を得た。...(略)
現在の技術では、一度に複数のチップのIDを読み取れないのだそうだ。
つまり2つ以上のチップの応答が入ってくる状態でIDをチェックできず、単品検査しかできないとのこと。
読み取り機の読み取り距離を伸ばせば伸ばすほど、離れたもののIDを読み取れる環境になるわけではない。別の言い方をすれば、同じ規格のチップを極めて近くに配置させておけば、そう簡単にはIDは読み取れないらしい。
財布の中で重ねられてはいっている状態のお札のμチップのIDは読み取れない。
「現在の技術では」とあるが、複数のチップを読む技術がないのではない。複数のチップを読むための輻輳制御は「アンチコリジョン」機構と呼ばれ、スマートカードでは10個程度まで、RFIDタグでは数十個まで対応したものが多いそうだ。アンチコリジョンの制御方式は、例えば近接型通信インタフェース実装規約書を読むと、ISO/IEC 14443 TYPE-Bのタイムスロット方式を理解することができる。
ミューチップで2つ以上同時に読めないというのは、アンチコリジョンの回路をあえて削ぎ落としてコストを極限まで最小化したという、デザインチョイスの話にすぎない。あるいは、悪用をできるだけ避けるという狙いも含めてあえてアンチコリジョン機構を入れていないということもあるかもしれない。
財布の中で重ねられてはいっている状態のお札のμチップのIDは読み取れない。
紙幣への応用の話では、プライバシー問題よりも、現金強奪の事前準備に使われることの方が懸念されている。IDは読めないにしても、そこに何枚あるかがもし読み取られる状況であれば、満員電車の中で「(目の前にいる)こいつはポケットに30枚くらいのお札を入れているな」と察知できてしまうことになる。
その事態をどのくらい深刻に心配すべきかはよくわからない。ただ、人が何千年も前から貨幣を使ってきた中で、初めて「財布に入れておけば中身の量を他人に知られることはない」という常識を覆す歴史的転換点になりかねないことは確かだ。一時期あれだけ流行ったトランスルーセントなデザインも、財布に及ぶことはなかったのがなぜなのか。
貨幣文化の転換期が訪れて、誰もトランスルーセントな財布を持たないのと同様に、人々が皆、当然に電磁シールド付きの財布を持つようになるのであれば、それもよいかもしれない。
そのためには事実が知らされなくてはならない。IDが読めないことは関係がない。枚数を推定できるのかできないのかだ。そういう調査をしたという話は未だ聞いたことがない。距離も同様で、最悪時の距離が3ミリなのか、2センチなのかというのは、財布に入れる紙幣という文化の歴史的転換をもたらすか否かを決定付ける基本要素だ。
RFIDタグが、紙幣だけでなしに、服や財布自身や財布の中の他の物にもついていれば、30個だとわかってもそれが紙幣だとは限らないのだから問題ないという主張が出てくるかもしれないが、そういう世の中が来るのは何年も先のことだろう。紙幣への導入がもし来年から始まったとすると、それはRFIDにとって先発隊であるわけで、それが紙幣であることが明らかな事態が何年も先まで続いてしまうことになる。
これは所詮は程度問題であるから、民間のサービスなら受容されてしまうかもしれないが、紙幣への導入は国家の行為であるという点で、国民への完全なる説明のない状況での導入というのは、あり得ない話だろう。
批評・評論は信頼のゲームである。信頼を得ている者の発言は効率的に大きな波及効果をもたらすことができる。信頼の獲得は一朝一夕にはできない。理解されやすく、かつ、少しだけ新しい知見を含めた「小さな主張」で、最初の信頼者を得る。聴衆の理解を汲み取りつつ、徐々に新たな知見を加え、信頼を維持しながら核心に近づく。一足飛びに大胆な発言は禁物だ。蓄積してきた信頼を失うことは避けられない。信頼を失えば、耳を傾ける者は去り、発言の効力は失われる。しかし、一般に、大胆な発言が求められる事態こそが重大な局面である。着実に理解と信頼を得られる「小さな主張」は所詮、小さなことでしかない。そもそも何のために信頼を獲得するのか。重大な局面の到来に備え、最後の爆弾に最大限の効力を充填するためではないのか。しかし、砕け散ったそのとき、もはや次の手段は何も残されていないかもしれない。
別の手段もある。第二の手段は、内部に入って内部から気づかせる方法だ。この方法は、内部の者から既にある程度の信頼を得ている状況でしか成功を期待できない場合が多い。内部が理性的な議論のできる正常な土壌でなくてはならない。内部からの解決を図り、失敗した場合には、後から第一の手段を使用しても効力は小さい。内部から解決しようとして失敗した人が言うことだからとバイアスがかかった見方が避けられない。解決できる見通しがなければこの手段は使えない。
第三の手段は、外部のおおやけな場で互いに討論して見せることである。この手段が使えるのは、対抗側がある程度組織化されているときだ。個人が組織と討論する場が注目を集める形で実現されることは普通ない。組織的に対抗する場合、バイアスがかって見られる危険がある。おおやけな場で、聴衆のほとんどが納得する議論が組織的にできる場合にしか有効でない。組織の一部の者が、誤った主張、過剰な主張、非理性的な発言をすれば、全体が信頼されないで終わる。
第四の手段は、外部のクローズドな権威あるコミュニティで両者が議論することである。この手段は、既にそうした議論が可能なコミュニティが存在していて、コミュニティ内での信頼を既に得ている場合にしか使えない。この手段を使う場合は、他の手段と同時に使うことはできない。この手段が失敗した場合、後に第一の手段を使うことはできる。コミュニティ内で得てきた信頼を失うリスクを伴うという点は第一の手段と同じである。
第五の手段は、個人的に直接話をすることである。この方法が使えるのは、相手に既に自分のことがそれなりに知られている場合だけである。うまくいった場合には、後に加えて第四の手段や第二の手段を併用することで効果を高められるかもしれない。うまくいかなかった場合でも、第四、第二の手段を使用できる余地が残る。
一方、説得される側の立場からすれば、どの手段を使われるのがソフトランディングとなるか、よく考えて対応することが威信を保つ秘訣となる。
*新幹線自動券売機の暗証番号ボタンが出なくなった
10月25日の日記の件について、ある方から12日の深夜にタレコミを頂いた。JR西日本のある駅で、同じ型の券売機でクレジットカードを挿入したところ、タッチパネルに暗証番号入力ボタンが表示されず、テンキーから入力せよと指示する表示が出たのだという。
私もさっそく昨日、東京駅で確認してきた。東北・上越新幹線の「南のりかえ口」北側にあるJR東日本の券売機で確認したところ、以下のように、「暗証番号を右下のテンキーから入力してください」というメッセージとともに、テンキーを手で押すアニメーションが現れた。先月品川駅で試したときとは変わっていた。
では、反対側にあるJR東海の券売機はどうかというと……
先月同じ場所で確かめたときと変わっていなかった。
ネタはどんどんたまる一方。リンクだけメモ。
こんなニュースも出ていた。
Internet Week 2003内で開催される今年のIP meetingでは、「インターネットにおけるIDとトレーサビリティ」というパネルディスカッションが予定されている。内容は、
インターネット上のIDとプライバシーについて、今旬のRFIDを軸としてENUM、IPアドレスなどのプライバシ/セキュリティ問題をトレーサビリティという視点で幅広い議論を展開します。
というもの。盛り上がるかなー? 参加申し込みの締切は11月20日だ。
全体で1時間半しかないので、それぞれの論点を深く議論することは難しそう。「ああだとするとこうで、こうだとするとああで、あれとは違うし、これとも違うし、それとも同じじゃない。どこどこが新しくて、これこれが解決法だが、それは無理な話で、あの人たちはあんなことをしたがっているし、この人たちはそれがしたいし、その人はこんなことを言っているし……」などと全部の論点を説明しはじめるととても時間内に終わりそうにない。RFIDの話題を中心にというよりも、IPアドレスの固定化の話題について、個別の論点よりも、インターネットにおける追跡性をどう確保するか/しないべきかということについて、会場の声をたくさん聞き出して、どんな共通認識があるのか明らかにするのが、IP meetingらしいのではないかなあと私的には思ったりする。
Internet Week 2003はBoF用に9つの枠を用意していたのが5つしか申し込みがなかったようだ。もう締め切られているけど、「IDプライバシーBoF」とかやったら面白いんじゃないかなあ。しかしBoFは、基本的に少なくともメーリングリスト程度の組織化されている主体がないとなりたたない。そういう母体となるグループはないよなあ。
先日、情報ネットワーク法学会の研究大会に参加してきた。「ユビキタス環境とプライバシー問題」という興味深いパネル討論があったのだが、電源のブレーカーが落ちたり他にも事故があって中断が入って、時間がなくなってしまって議論は深まらず残念だったのだが、懇親会に参加して、法律家の方々の間にもRFIDのプライバシー問題はかなり関心が高まっていることが感じ取られた。ただ、「よくわからないけれども関心がある」という状況もあるようだった。一方、技術者はといえば、暗号研究者を中心としたセキュリティ屋も強い関心を持っているという様子がある。
こうした、分野をこえた人の集まりで、じっくりと議論を深める場を設けることはできないだろうか。パネル討論では深い議論は難しい。反対集会みたいなのは開く方法はいろいろあるだろうが、そういうのではなくて、議論を深める場は実現できないものか。電波を扱う技術者からの距離に関する正しい情報も欲しいし、マーケティングに携わる人たちの何をしたいのかの声も欲しい。……無理っぽいなあ。
一昨日「見逃した!!」と書いた映像は録画が公開された。すばらしい。
「血を見るか?!」と噂されていた、CASPIAN 対 Auto ID(?) のパネルはどうだったのか。CASPIANがクレイジーでヒステリックな連中と想像している人は日本で少なくないようだが、はたしてどうなのか。Katherine Albrecht女史の講演はここだ。
じっくり観る時間がない(T_T)。土曜まではむり。
2年近く前にこういう報道があった。
インターネットのホームページ(HP)上で無料で電子メールを送受信できる「フリーメール」サービスの利用者から、メールをのぞき見されたとの相談が警視庁に相次いでいる。パスワードを忘れても、特定の質問に答えればパスワードが表示される「リマインダー(思い出させ)」機能を利用しているらしい。のぞき見は不正アクセス禁止法違反に当たり、同庁は近く、サービス提供業者にパスワードの再交付方法の見直しを要請する。
「フリーメール」サービスは、主にHPの検索サービス会社が提供している。(略)
リマインダーは、パスワードを忘れた際に使う機能。利用者の母親の旧姓やペットの名前、出生地など、あらかじめ利用者が設定した質問に対する答えをHP上で入力すれば、本人確認ができたとみなし、パスワードを表示する。
警視庁ハイテク犯罪対策総合センターには今年、約30人から「メールをのぞき見されたらしい」という相談が寄せられた。一部は「リマインダーが悪用されているかもしれない」と訴えた。...(略)
同庁ハイテク犯罪対策総合センターは「身近な人なら簡単にパスワードがわかるし、第三者でも質問の設定次第では知り得る仕組みには問題がある。パスワードを本人あてに郵送して知らせるなどの方法に変更してもらわなければ、のぞき見はなくならない」と話している。
インターネットの「フリーメール」サービスの利用者がパスワードを忘れた際に使う「リマインダー(思い出させ)」機能がコンピューターの不正アクセスに悪用されている問題で、警視庁は8日、インターネット接続業者など26社に対して、同機能を使ったパスワードの再交付をやめるように要請する文書を郵送した。
(後者の記事の「インターネット接続業者に対して」というのは朝日新聞の勘違いだろう。接続業者ではなく、フリーメールのサービス提供業者のはず。)
この記事のことは印象深くよく覚えている。「要請したところで事業者は対応するだろうか?」と疑問に思ったものだ。あれから2年近くが経ち、フリーメール界隈もだいぶ様変わりしているはずだ。フリーメールのパスワードリマインダはその後どうなっただろうか。
カーといえばグー、フリメといえば goo だ。まず goo に行ってみると……
なんと、昔のまんま。ブッたまげぇ。
それにしても、このリマインダーのヌルさは凄まじいね。「4〜10文字以内の半角英数字でお答えください」だって、あなた、ローマ字だったらカナにしてわずか2文字〜5文字程度ですわよ。「出生地はどこですか?」という問いもすごいな。都道府県を入れる人が多いとすると、47通りしかないよ。しかも、「パスワードを表示する」だって。
自分のアカウントで試してみると、こんな感じでパスワードがズバリ出てくる。(「flower」は臨時に付けたダミーパスワード。)
やっぱり警視庁が要請したところで、営利企業はカネでナンボの世界なんだから、社会正義がどうのこうのなんて通じるわけなくてまあ当然だわね。きっと他のところも……と思いきや、
| サイト | 本人確認方法 | 通知・変更方法 |
|---|---|---|
| Club A & A | サポートセンターに問い合わせ | 郵送で回答 |
| Yahoo! | 生年月日と郵便番号 | 新パスワードをメールで通知 |
| Infoseek | 登録メールアドレス | 新パスワードをメールで通知 |
| Excite | 秘密の答え + 生年月日 | 新パスワードを設定できる |
| goo | 秘密の質問選択 + 秘密の答え | 画面に現パスワードを表示 |
なんと、老舗のフリーメールを見てまわると、どこも対策しているではありませんか。
こういう、見ただけで誰の目にも明らかな比較は、誰がやってもよいのだから、雑誌なんかで堂々と比較記事を掲載してもらいたいものだ。「フリーメール、どこが安全?」みたいな記事を。報道も実名を出さずに書いているからこういうことになる。泣くのは被害者。警視庁も実名を出してはどうだろうか。事件の現場がどこだったかというのはあくまでも事実なのだから。
「MYCOMフリーメール」にいたっては、
フリーメールの不正利用が後を絶たず、社会的にも問題になっております。当社としましては以前より、システムの見直し、新規登録の制限、モバイル機能の停止等の対策を講じてまいりましたが根本的な解決には未だに至っておりません。基本的にそのような不正ができない形で皆様に有効活用頂けるようにバージョンアップを検討してまいりましたが、システムの構成上、現時点で抜本的な解決策を見出せないという結論に至り、6月末日を持ちましてサービスを終了させて頂きました。
と、社会正義のため、サービス廃止になっていた。
こんな危ない記事も見つかった。
何とか彼の状況を知る方法はないものだろうか? ──そこで真由子は、とんでもない裏ワザを思いつく。...(略)
でもパスワードなんて知らない。ここからが裏ワザだ。そこにはもしパスワードを忘れてしまったときのために、本人しか答えられないクイズに答えることでパスワードを教えてくれるシステムがある。...(略)
真由子が彼のアドレスを打ち込んでパスワード通知ボタンをクリックすると、そこに現れたのは「出身地はどこですか?」の問い。ドキドキしながら彼から聞いていた東北地方のある県名を入力してみると……。
「クイズ」って、おいおい、この雑誌は不正アクセス禁止法違反行為を奨励するのですか?
で、本題はそういう話ではない。
東京都電子申請システムを見に行ってみると、左側のメニューに「パスワードの再発行」というリンクがある。
行ってみるとこんな画面が出る。
おいおい、「設立記念日」なんて 365通りほどしかないでしょうが。
まあでも、「パスワードの再発行」ということなので、きっとパスワードはメールで送られてくるんだろうから、ぎりぎりこれでもセーフかな……と思いきや、試してみると、
ズガーン、画面にパスワードが出現。どこが「パスワード再発行」じゃ。しかもご丁寧に質問と答えを再び画面に表示するのは何のため? ユニバーサルデザインですか?
このシステムを発注した人はフリーメールユーザなんだろうか。「NTT系の gooだってこういう設計なんだから、うちも付けとこう。」というノリだろうか。
警視庁は「パスワードの再発行機能を悪用した不正アクセスに注意!」という注意喚起を都民に向けて発している。
ここに落とし穴があり、この例では、ペットの名前を知っている第三者であれば、パスワードの再発行機能を悪用してパスワードを入手することが可能となるのです。...(略)
既にパスワードの再発行機能のために登録されている情報が、安易な内容になっている場合は、登録情報の変更やIDの廃止などをお勧めします。
警視庁は東京都の警察なんだから、東京都電子申請システムに対しても2年前と同じ要請をしてもらいたいものだ。
インターネットの「フリーメール」サービスの利用者がパスワードを忘れた際に使う「リマインダー(思い出させ)」機能がコンピューターの不正アクセスに悪用されている問題で、警視庁は8日、インターネット接続業者など26社に対して、同機能を使ったパスワードの再交付をやめるように要請する文書を郵送した。
朝日新聞 2002年2月9日 フリーメールのパスワード再交付で業者に「注意」要請 警視庁
最近でも、こんな事件が起きているようだ。
○○容疑者は、女性が利用していたサイトでIDを知り、パスワードを忘れないために設定する「リマインダー機能」を悪用して、パスワードを割り出していたという。
東京都電子申請汎用受付システムのヘルプに「「利用者IDの申し込み」記入例」というページがあった。そこにはパスワードリマインダ登録の様子が書かれていた。
「尊敬する人は誰? = 母」ですか。だったら、パスワードも「haha」にしたらどうか。
当ソフトで作成した唄データをPS2からパソコンへ送信される際に添付される唄データ(.enka)はパソコン上で動作する「くまうたビューアー」を使用してお楽しみいただくための専用ファイルです。この唄データをPS2からパソコン上で最初に受信されたお客様がサイト上への掲載・メール転送を行い、その唄データが「くまうたビューアー」を使用されずに、他のお客様によって開かれた場合、最初に受信されたお客様のメールアドレス等の情報が表示されることが判明いたしました。
受信したデータに記録されているメールアドレスは、「くまうたビューアー」で再生した段階でメールアドレスを削除するという。このためソニー・コンピュータエンタテインメントでは、データのインターネット上での配布を一度停止し、現在同サイトからダウンロードすることができる「くまうたビューアー」でデータを再生し、メールアドレスを消去して欲しいとしている。また再生前のデータは廃棄して欲しいとも呼びかけている。
ゲームソフト初のセキュリティホールといったところか。攻撃されるわけではないので脆弱性と呼ぶのは違うかな。
この告知文はわりとよく書けている方だと思う。正確に、過不足なく書かれている。だが、消費者が真っ先に知りたいことは何か。交換に出す価値はあるのか? 交換しないとどういう危険があるか? ということだ。つまり、「メールアドレスなどが漏えいします」ということを冒頭に朱書きすべきだろう。最初の段落の末尾でそれは説明されているのだけれども、どういう場合に起きるかを厳密に書いているがゆえに、平均的な文章読解力を持つ人でないと途中で挫折してしまうのではないか? この文章を読む人の対象年齢は何歳なのか。
あと、「不具合」という言葉をなんとかできないものだろうか。広辞苑によると「欠陥」と同義らしいのだが。
ふ‐ぐあい【不具合】
(製品などの)具合がよくないこと。また、その箇所。多く、製造者の側から、「欠陥」の語を避けていう。
広辞苑第五版
ここはたいへん適切。
※お客様からご提供いただく氏名、住所等の個人情報は、本件のディスク交換のためにのみ、当社が使用させていただきます。尚、上記使用目的が達成され、継続して個人情報を保管する必要がなくなったと判断した時点で、お客様の個人情報を消去いたします。
いずれにせよ、面白そうなので買ってこねば。
もう1か月近く経ってしまったが、10月19日の日記で書いていたCSS 2003(情報処理学会コンピュータセキュリティシンポジウム)の様子について。
最終日のRFIDセッションを控えた前日の懇親会では、「明日のRFIDセッション楽しみですね」という声が複数聞かれた。木下さんのご発表「RFIDプライバシー保護を実現する可変秘匿ID方式」が優秀論文賞を受賞し、表彰式があった。翌日、朝一セッションにも関わらず、多数の立ち見の出る盛況ぶりだった。(元々狭い部屋ではあったが。)質問もたくさん出て、時間が全然足りない。日記で予告していたとおり、質問を打ち切らずに終了時間を守らなかった。時間配分は十分に注意したが、次のセッションまでの空き時間が1分を切ってしまったのは、さすがにまずかったと反省している。
木下さんらの論文の内容は、RFIDのプライバシー問題を(1)所持品の漏洩、(2)ID追跡による行動追跡・本人特定に分けて整理し、(1)の問題を解決する技術的手段として、「秘匿ID」方式、(2)の問題を解決するものとして、可変秘匿ID方式を提案している。
秘匿ID方式は、事前に外部でIDを、(a)ランダム化、(b)共通鍵暗号化、(c)公開鍵暗号化のいずれかで「秘匿ID」に変換したものをRFIDタグに記憶させるというもの。(a)では、秘匿IDと元のIDの対応表をサーバに持たせ、リーダはサーバに問い合わせて元のIDを得る。(b)や(c)では、鍵をサーバに持たせてサーバに復号させる。これらは、元のIDが上位ビットが製造者や製品のコードとなっている場合にそれを秘匿するための策である。
可変秘匿ID方式は、正規のリーダがRFIDタグにアクセスする毎に、IDを別の秘匿IDに交換するというもの。ランダム化を使う場合は、リーダが読む毎に別の乱数を発生させ、サーバの対応表を更新した上で、新しい方の値をタグに書き込む。暗号化方式では、乱数を混ぜて暗号化したものに置き換える。この方法に限界があることは明らかで、正規のリーダにアクセスされない期間中は追跡されることになる。この課題に対する考察として、「導入コスト等を無視すれば、家の玄関に更新装置を設置し出入りするだけで所持品のIDが自動更新される仕組みなどが可能かもしれない。」と述べられている。
会場からの質問で、「誰でもタグのデータを書き換えることができてしまうのでは?」というツッコミがあった。ハッシュロック方式を導入することも考えられるが、低コストを前提とするならばアクセス制御機能を搭載しないという選択肢もある。これに対する回答は、「書き換えられたらあきらめる」という割り切りもありではないかというものだった。たしかに、タグが使えなくなってしまうことよりもプライバシーを重視する、あるいは、タグを使えなくするという攻撃の動機がさして強くないだろうということが考えられる。
ただ、その場合タグの用途は限定されるだろう。また、現場では時間がなくてツッこめなかったが、無効なIDに書き換えられてしまったタグを読み取った正規リーダは、どのようなアクションをとるのだろうか。該当するIDが見つからない(復号できない)とき、タグをそのままにするのか、正規の値に書き換えるのか。前者だとすると、無効な値を書き込む攻撃によって、タグは長期間追跡可能になってしまう。後者だとすると、「正規のリーダ」の種類が複数ある場合にどうなるのか。A社系列が発行したタグをB社系列のリーダで読んだ場合、IDを復号できないことになるだろうが、そのときにタグの値を書き換えてしまってはまずいだろう。
当日、私からした質問は、「リーダの使用者が、製造、流通、小売と多岐にわたる場合、IDを復号する権限を持つユーザを限定する必要があるが、どうするのか」というものだった。これに対する回答は、タグの付いた物が移動する(製造から流通へ、流通から小売へ、小売から消費者へ)たびに、アクセス権が誰にあるかをサーバ上の管理表を変更して対応するというものだった。このように、タグだけではなく、システムアーキテクチャとしてアクセス権管理の工夫も必要である。しかし、その方法だと、物の所有権が移動するたびに、毎回必ずタグをリーダにかけなくてはならない。物の流れのどこか一か所でリーダにかけ忘れると、次にリーダにかけようとしたとき、アクセス権がなくて困ることになりはしないか。
論文は従来研究についても整理している。同じ著者を含む大久保さんのご発表「Forward-secure RFID Privacy Protection for Low-cost RFID」は、Randomized Hash Lock方式を改良した、Extended Hash-chain方式を提案している。Randomized Hash Lock方式は、タグ内にハッシュ回路と乱数発生器を搭載し、乱数RとIDの結合ハッシュ値 hash(ID||R) と Rをリーダに応答するもので、リーダはそれをサーバに渡して問い合わせる。サーバは、発行したタグのすべてのIDを記憶していて、記憶している各ID'に対して hash(ID' ||R)を計算してリーダからの問い合わせに一致するID'を探してリーダに返すというものだ。大久保さんらの論文は、Randomized Hash Lock方式の問題点として、IDが不正に持ち出されると、過去に記録されたすべての hash(ID||R) がそのIDのものであると、容易に知られてしまうことを挙げ、その解決策として、2つの異なるハッシュ関数の回路を搭載したタグを提案した。タグはIDを持たず、乱数を初期値とする。サーバがその初期値とIDの対応表を持つ。タグの値はハッシュH によって、リーダからのアクセスがある毎に新しい値に更新する。リーダへは別の関数G でハッシュした値を応答する。詳しくは、15日のMITのワークショップで発表された論文を参照。
4件目のご発表は、藤村さんらによる「法制度から見たRFIDプライバシー保護実現手段に関する考察」。情報処理学会という場で、法律面からの検討であるにもかかわらず、これにも会場は熱心に聴き入っていたし質問も多かった。この話題が学際的であらざるを得ないことを示していたと言えよう。
会場から、「ポイントカードはどうなのか」という質問が出た。発表者は、「記名する際に規約があるはずだ」と回答したが、質問者は「無記名のポイントカードもありますよね」とツッこんでいた。無記名のポイントカードの発行にあたって、普通、規約の提示はない。これには私も言いたいことがあったのだが、完全に時間切れで議論は打ち切りとなってしまった。
ポイントカードについてはこの日記にも書こうとしたことがあったのだが、まだ書いてなかった。
ポイントカードは昔は紙にスタンプを押す方式だった。これが磁気カード方式に変わってきている。これは、同じ人が何を買っているかをPOSで記録可能になったということである。
昔を振り返れば、家電量販店が早い時期から会員カードを発行していたと思う。大型家電を買えば、故障したときのサポートや、リコールの際の連絡を欲しいと思うので、住所氏名を渡して会員になることをごく自然にしていた。しかし、最近では、ドラッグストアでさえポイントカードを導入している。ただ、それは、住所氏名は渡さない無記名式カードだ。
私も近所のドラッグストアで、かつてそのタイプのポイントカードを使っていた。当時は何の意識もなく使っていたのだが、ある日その店が、「カードの方式が変更になるから、そのカードは廃止にする。溜まったポイントは抽選で景品を還元する」といって、客に住所氏名を書かせていたとき、「これはヤバい」と気づいた。係員に、「プライバシーポリシーは?」と尋ねたところ、言葉の意味がわからなかったようで、「この住所はどう使うのですか?」と再度尋ねると、「景品の発送のため以外には一切使いません」と即答した。「プライバシーポリシー」という言葉も知らない係員が問題ありませんと即答するのだ。
この店の場合、その住所は本当に景品発送のためにしか使わないのかもしれない。カードを変更するにあたり、ポイント還元のためにはそうせざるを得なかったのかもしれない。憶測だが、その店は、旧タイプのカードでは何を買ったかは記録していなかったのではなかろうか。それが新タイプでは記録するようになったと。新タイプへの乗り換えには大変な作業を要していた(客に住所を書かせたり、新しいカードを発行したり)のだから、それだけのメリットがあるはずだ。カードにはIDが書かれていて、清算時にPOSシステムが、時刻と商品IDとポイントカードIDとを結びつけて記録するのだろう。
大型家電なら記録されてもよいとして、しかし、ドラッグストアはどうだろうか。育毛剤を買っているか、水虫薬を買っているか、花粉症対策製品を買っているか、何週間おきにコンドームを買っているか、どのシャンプーと歯磨きがお気に入りで、コーヒーの好みはこれ、そういった情報が蓄積されているはずだ。
しかしこれには確信がもてなかった。本当にそういう情報を記録しているのかどうか。行き付けの店はチェーンの本店だったので、店長と名札を付けた人に聞いてみた。しかしよくわからない様子だった。
そういう状況の中で、月刊ネット販売11月号を手にしたところ、「ネットにおけるFSP 顧客育成の理論と実践」という記事にそのことがズバリ書かれていた。
「FSP」という三つのアルファベットが並んだ略語が、小売流通を席巻している。正式な呼び方は「フリークエント・ショッパーズ・プログラム」。マーケティングからマーチャンダイジングまで広義の企業戦略に影響を与える新しい考え方だ。……(略)
ポイントカード = FSP 日本における誤解
FSPはまず、顧客を識別することから始まる。このため、小売流通では、誰がいつ、どこで、何を買ったかのデータを保存、蓄積するため、「ポイントカード」を発行して、個々の顧客の識別を行っている。……(略)
一方で、「このポイントカードの存在が、FSPに関する混乱と誤解を招いている」と日本におけるFSPの第一人者、日本NCRの大竹佳憲氏は語る。日本に従来あった、購入額に応じてスタンプが集まるスタンプカード的な感覚で、用いられているケースがあるからだ。……(略)
大竹氏は、ポイントカードを導入してる企業のうち、一割程度しか、FSPの本質を理解していないと指摘する。
想像通りだったとはいえ、こうもズバリ臆面もなく「誰がいつ、どこで、何を買ったかのデータを保存、蓄積するため」と言われると驚いてしまう。
FSPの中身については、大竹氏らの著書「実践 ロイヤル・カスタマー経営」が詳しいらしい。
記事の続く部分から引用すると、
「第一人者が語る日本のFSPの現状」
(略)
――ネット販売や通販でもRMFなど、データ分析は行っている。FSPの分析手法と何が違うのか。
(略)FSPが目指すのは、顧客のニーズにあわせた顧客分類。つまり、顧客のライフスタイル、ライフシーンの分類だ。例えば、ペットを飼っている人、低脂肪食品や無農薬食品を好む人などをカテゴライズ、仮説を立てて、その世帯にもっとも効果のあることを行う。
ということだそうだ。
さて、こういうことが行われるにあたって、消費者への説明はなされているのだろうか。育毛剤を買っている人にカツラの宣伝とか、コンドームの購入頻度の低い人にバイアグラの宣伝とか、「その世帯に」連絡が来るというのはどうなのか。そういう心配のない製品にだけ活用するのだとしても、何は気にして何は気にしないというのが人によって異なるというのが、この問題の難しいところなのだが。
「その世帯にもっとも効果のあることを行う」というのは具体的には何だろうか。ダイレクトメールを送るということか。それならば、どこかで住所氏名と顧客IDを結びつける必要があるが、どこでするのか。
ドラッグストアで買い物をすると、「カードお持ちですか?」と一々きかれる。「ありません」と言うと「おつくりしますか?」と予想通り一々きかれる。予定通り「いりません」と答える手順が苦痛ですらある。この苦痛によるイメージダウンをはたして店は理解しているのだろうか。カードを作ったところで割引率は 0.5パーセント程度でしかない。バカバカしい。カードを一々渡してリーダ/ライタで書き換えてもらうのに要する時間は、一回あたり15秒くらいかかっているだろう。自分の時給が2,500円だとすると、15秒の価値は10.4円だから、2,080円以上買わないと見合わない。「より効率的にトクをする! トクするポイントカードの使い方」なんていうAll Aboutの記事もあるが、こんなことに一々気を遣っているくらいだったら、その分、働いたほうがいい。
それはともかく、無記名のポイントカード(つまり、どこの誰かを特定しないID)にひも付けられた、その消費者の購買行動の記録は、どのように取り扱われるべきだろうか。個人情報保護法では、IDが容易に本人に結び付けられるものでない限り、それは個人情報ではないことになるので(?)、どう扱ってもかまわないものということになるだろうか。上に書いた、CSS 2003で藤村さんの発表に対して出た質問は、そういうことを問うている。
「IDからお客さまを特定することはできません」――このフレーズをこの日記でこれまでに何度書いただろうか。「お客さまを特定する情報ではないのだから」と思えば思い込むほど、そこにある購買行動記録はぞんざいに扱われるだろう。それでよいのかだ。
このことについては、東さんとの対談の中でも述べた。本とコンピュータ12月号に掲載される予定の対談の校正原稿から関係する部分を引用する。
つい先日、私の行きつけの小さなレストランでも、この書き換え式の磁気カードを使いだしていて、びっくりしました。店のママさんとは親しかったので、CRMに使っているのか聞いてみたら、わかっているようなわかってないような返事をするんです。ようするに、POS業者にいろいろ吹き込まれて導入したはいいけれど、とくに何に使う気もないまま、客の購買情報を記録してしまっている。これはプライバシー問題の大事なところで、意図があってやっているうちはまだしも、意図せず個人情報を集めてしまう状況のほうが危ないんです。当人たちに自覚がないんですから。
この店は地元ローカルの小さなイタリア料理店で、そんなところで(スタンプカード以上の)FSPをやる意味があるとは思えない。誰がどの料理が好きかなんて調べても意味ないし、どの料理がよく出るかは元々伝票で記録しているはずだ。ある日、「会員カード作りますか?」と店のママにカードを見せられて驚いた。「ついにこんなところにまで!?」と。
FSPの第一人者が、「FSPがスタンプカードと誤解されている」と嘆いている一方で、POS業者が、スタンプカード以上には使う価値のない店にまでシステムを売り込んでいる実態があるようだ。誤解を招いているというより、単にPOS業者自らがその状況を作っているのではないのか?
ちなみに、家電量販店の会員カードだが、以前は家電製品にしか使えないカードだった。その会社にはCDショップもあるのだが、CDショップでは紙の割引券をくれるようになっていて、会員カードは使わないシステムだった。ところが去年からだっただろうか、紙の割引券が廃止になって、CDを買ったときも会員カードにポイント加算となった。つまり、CDのような小物商品さえも、購買行動が記録・蓄積されるようになったということだ。
このカードは、住所氏名を提供していることを忘れてはならない。ドラッグストアとは異なるのだ。つまり、初期状態では妥当性があると思って提供した住所氏名に結び付けられたカードが、後に妥当性のない用途に利用が拡大される場合があるということだ。この事例では電気店だったから、まだCD程度のプライバシー性の低めのものですんだが、あらゆる商品を売る大規模スーパーマーケットだったらどうか。住所氏名とともに、育毛剤やコンドームの購買行動まで記録されてしまうかもしれない。消費者はそこを見落とさないように気をつけざるを得ない。
取扱商品の幅が広いほど、顧客カテゴライズに役立つより有益な購買行動情報が得られるだろう。ということは、事業者をまたがって記録が共有される可能性はないだろうか。記録を交換し合えば、両方の事業者にメリットがあるという状況があり得る。「IDからお客様は特定できません」であれば、記録を共有したり売り買いしても問題ないということになる。
しかし幸いなことに、ポイントカードの場合では、同じポイントカードを複数の店で使わない限り、IDが独立しているため、購買行動記録が共有されてしまうことはない。
さて、RFIDタグは、ポイントカードのIDと同じ役割を果たしかねない。RFIDタグの付いた服や靴、鞄を身につけた人が何かの消費行動をした際、それが記録され蓄積されて、FSPだの、1 to 1マーケだの、CRMだのに活用されることが起こり得る。そのとき、ポイントカードと異なるのは、(固定IDのRFIDタグの場合)そのIDが全ての店舗、事業者、業界をまたがって共通だということだ。
さらに悪いことに、ドラッグストアのポイントカードのIDが住所氏名と結び付けられることはないかもしれないのに対し、RFIDタグの場合は、そのタグを身にまとっている間に住所氏名を提供すると、それが名簿となって闇で流通してしまうかもしれない。誰のものかわからないはずということで蓄積されてきた膨大な購買行動(人生の記録)が、闇の名簿と付き合わせた瞬間、過去にさかのぼってそれが、どこに住む何という名前の人の記録かが判明してしまう。
ライフシーンを分類し、仮説を立てて、その世帯にもっとも効果のあることを行うには、そういう名簿は喉から手が欲しい情報だろう。闇の名簿屋が事業を展開できるに見合うだけの対価が支払われるに違いない。
IPv6屋がプライバシーのことを何も考えていない疑いについては、IPv6アプリコンテストについて考察した5月25日の日記にも書いた。今回はもっと強烈だ。
特に山本氏は、新分野における機器の例として、横河電機が開発したIPv6対応のCD試聴機や、同じく家電分野での例としてソニーが実証試験中のIPv6対応「CoCoon」などを挙げた。CD試聴機については、「試聴機でCDが聴かれてから30分以内に同じCDが購入された場合、(購入したCDと)同時に試聴されたが購入されなかったCDと、ショップの会員IDとを関連付けて記録する機能などがあり、POS以上のシステムと言われている」とその優位性を強調した。
とんでもない試聴機だ。匿名で試聴する自由も奪うというのか。これ以上説明する必要があるか? 個別の議論は別にしても、こういうことが臆面もなく語られることに脅威を覚える。
この試聴機(という名の盗聴器)は、消費者の直感に反するというところにまず問題がある。このCD試聴機が「合法」になる(現行の法律では問題にさえならないのかもしれないが)には、客に事実を伝える必要があるだろう。どう説明するのだろうか。
お客さま この試聴機で試聴なさいましたCDのいずれかを、会員カードを提示してお買い求めになりますと、この試聴機で30分以内に試聴した他のCDについても、お客さまが試聴なさったことを記録させていただいています。ご了承ください。記録しないことをご希望の場合は、このボタンを押しながら試聴してください。
といったところか。
こんな説明を付けるくらいだったら、自己申告したい人だけがボタンを押せばよい。だが、それだとボタンを押してくれる客は少なくて、役に立たないものになるだろう。だから、デフォルトで記録だ。あまりわかりやすく説明してしまうと、客がこわがって拒否ボタンを押してしまうから、できるだけわかりにくく、説明責任だけ果たしておくことになるだろう。
ちなみに、この試聴機を実現するにあたってIPv6は必要ではない。アプリケーションレベルで解決すればよいことだ。このことについては5月25日の日記で書いたとおり。
IPv6の特徴は何かといえば、それで何が新しいことが実現可能になるというよりも、IPv6を推進する人達によって、「新しい」アプリケーションが編み出されているところに特徴があると言えるだろう。しかも、それは「新しい」のではなくて、単にプライバシーに配慮して誰もやらないでおいてきたことを、臆面もなくやってみせているにすぎないのではなかろうか。
この状況分析が正しいならば、IPv6の特徴が語られるときには必ず「プライバシーはどうなるのですか?」と質問してやるとよい。そういうことを言うと、彼らは顔をしかめるだろう。「IPv4だって常時接続化でIPアドレスが固定化してきていますよ。IPv6特有の問題ではない。」と言われるかもしれない。だが、そういう話をしているのではなく、「IPv6でしかできないこととして挙げられている応用例が、そもそもプライバシーを蔑ろにしたから、新しくて面白そうに見えるだけではないのか?」ということを問うのだ。
最近、RFIDの本の一部を書いた。電子ジャーナルから「ユビキタス社会のRFIDタグ徹底解説」という本が出る。その、第3編第4章「RFIDタグのセキュリティ技術」を担当して執筆した。RFIDに求められるセキュリティ技術という観点からプライバシー問題を書くにあたり、どういう書き方をすればよいか悩んだが、次のように書いた。冒頭は次のように始まる。
RFIDを「RFIDカード」と「RFIDタグ」に分類することができる。RFIDカードは、非接触型のスマートカード(ICカード)のことを指す。両者は、形状の違いや使用目的の違いだけでなく、セキュリティ機構の有無によって区別できる。
RFIDタグは、RFIDカードからセキュリティ機構を削ぎ落として単純化したものと見ることができる。ICカードでは、ICチップに暗号演算器(専用回路ないしはCPU)を搭載し、通信の傍受による情報漏えいや、悪意あるリーダ/ライタによるカード内データの改ざんなどを防止している。RFIDタグの場合には、現在のところこうした機構はほとんど搭載されていない。
RFIDタグに暗号演算器が搭載されないのは、RFIDタグでは、その使用目的から、コストを最小限に抑えることが最優先目標となっているためである。ICカードが一枚500円前後の価格で消費者に提供されるのに対して、RFIDタグでは、価格に上乗せすることなく消費財ひとつひとつに取り付けることを想定している場合には、一個あたり数円程度が目標とされている。このような価格で、高度なセキュリティ機構を持ったRFIDタグを提供することは困難と考えられている*1。
ICカードの主な利用目的は、カードによるカード所有者の個人認証(住民基本台帳カードや電子錠システムの鍵カードなど)と、カード内メモリによる情報記憶機能(電子マネーや電子切符の残高記憶)にある。個人認証の目的で使用する場合には、同一IDを応答するクローンカードの偽造が困難であることがセキュリティ要件となり、また、電子マネーの目的で使用する場合には、記憶内容の改ざんが困難であることが要件となる。ICカードでは、認証とアクセス制御の機能、および耐タンパー性を備えることにより、これらの要件を満たしている。RFIDタグにおいても同様のセキュリティ要件が求められることがないか、検討する必要がある。
最後はこう締めくくった。
このように、プライバシー侵害が起きないことを保証しつつ、RFIDタグを実用化するには、現状では、タグの用途を限定せざるを得ない。そもそも、人を識別するには高度なセキュリティが求められるという前提の下で、RFIDカードの開発が進められてきたところに、セキュリティ機構を一切省いたRFIDタグが注目を浴びて、「あんなこともできる」「こんなこともできる」と夢想しているのが現在の状況であろう。夢の未来社会が間近に迫って見えるのは、単にセキュリティの要件を忘却したからにすぎない。
つまり、ICカードは人を識別するためのものであるから、当然にセキュリティ機能が搭載されている。対してRFIDタグは、物を識別するために設計されたものなのだから、セキュリティ機能が省かれている。
ここで問題は2つある。物を携行することによって物の識別子が人の識別子として働いてしまうという問題、これはこれまでにも述べてきた。もうひとつは、物の識別子を人の識別子として積極的に活用しようとしている輩がいるということだ。
NETWORKERS 2003の会場受付に設けられた、来訪者カード受け渡しカウンター。事前登録をしている来場者には、ここでRFIDタグを組み込んだカードが渡されて、セミナー会場やスケジュールなどの案内サービスを利用できるようになる。
セミナー会場入り口に設けられた、受講者受付の管理システム。カードのタグから受講者を識別、ネットワーク上のホストPCにあるデータベースに対して受講予約の確認と受付済みの入力が行われる
会場に設けられたスケジュール案内システム。RFIDから、利用している来場者の名前をチェック。その名前から登録しているセミナーと開始時間、今いる場所からセミナー会場までの道順を表示している
このデモは自分の首を締めるようなものだ。この記事を指して、「この記事の4つ目の写真なんだけど、こういう使い方はちょっと嫌かもなぁ(苦笑)。後ろからおもいっきり「こいつ、こんなん聴きにいきよんねやぁ」とか眺められるし。」とコメントする日記があった。
後ろから見えるという問題を解決したとしても問題は残る。この記事では、「RFIDタグを組み込んだカード」と書かれているが、上で分類した意味での「ICカード」(=「スマートカード」)ではないだろう。Auto-ID方式のタグなのだろう。Auto-IDのタグならば、何のセキュリティ機構も搭載されていないのだから、リプレイ攻撃で簡単に個人情報を引き出せることになる。
すなわち、会場で目の前にいる誰だか知らない人に、RFIDリーダの電波を浴びせかける。すると、RFIDがIDを応答してくる。これを読み取ってもよいし、あるいは学習型赤外線リモコンの如く電波のパターンをそのまま記憶してもよい。そして、情報端末の前に行って、その電波を浴びせるのだ。そうすることによって、さっき目の前にいた人が、何と言う名前の人なのかを画面に出すことができるだろう。
スマートカード同様のセキュリティ機構を搭載したRFIDであれば、こうした攻撃は防げる。
つまり、人を識別するために設計されたRFIDカードを使わずに、物を識別するためのRFIDタグを人の識別に流用しようとしているから、こういうことになる。
いわば、家畜の餌を人に食わせるような話だ。
このケースでは、カード状のものを使ったようなので、まさにスマートカードを使えば済む話で、今回はたまたま物用のタグを使っただけなのかもしれない。だが、まさに、「物の識別子を人の識別子として積極的に活用」しようとする事例がある。
10月2日の日記に書いた、「インターネットの不思議、探検隊!」という本だ。この本がどのように使われたかは、「本を持って街へ出よう!」というサイトに書かれている。同サイトの「実験について」によると、
ポイント交換システム
今回は、本の発売にともなって、本をポイントカードのように扱う実験を行ないます。 予め、実験のサイトで読者のみなさんが自分の本の番号を登録しておき、特定の場所にあるリーダで本に付属しているタグが識別されるとポイントが加算されます。
まさに、本という、物を識別するための(家畜に食わせるための)タグ(餌)を、人の識別に流用しよう(人に食わせよう)というものだ。
同じページにはこうとも書かれている。
ある物を持ってくると、それに対応する番号がユニーク (一意) に決まるということは、応用の可能性を広げます。例えば、その番号を何かの口座番号として使うことができるでしょう。これは、あらゆる物を、通帳やポイントカードのように用いることが可能になるということを意味しています。 (もちろん、十分にプライバシーが保護されるように考えていかなければなりません。)
そろそろ本当のことを言うべき段階がきたと思うので言おう。
「高機能化させて、チップをPCのように使うのがユビキタスIDセンター。Auto-IDはチップをとにかく安くするために、チップでできることはシンプルに抑えている。複雑なことはネットワークで接続しているホストのデータを利用すればいい」(中村氏)
そうであるなら、Auto-IDでWIDEがやろうとしていることは本質的に無理がある、ということになる。早めに方針を転換したほうがいい。原点に立ち返って、物用(家畜用)のタグ(餌)はサプライチェイン(家畜)に使う(食わせる)ものだということを認識したほうがよい。
日本では、世界で初めてAuto-ID準拠のRFIDタグを搭載した絵本を流通させる実証実験がすでに行われている。村井氏の著書でもあるこの「インターネットの不思議、探検隊」という絵本を実際に市場に出し、出版・本の流通という過程でRFIDタグをいかに利用できるのかを試しているのだという。村井氏によると実証実験で浮き彫りになった点は、RFIDがついたままの本を消費者が持ち歩くことでプライバシー問題に発展する恐れがあるということだ。「社会において、電波とのつきあいはまだ浅いのが現状だ。電波に関する認識度をいかに上げていくかということも課題だろう」と村井氏。
ほほう、実験でわかりましたか。どういう実験で何がどう問題だとわかったかは、発表されるのだろうか。
「サイレントコマース」いう言葉があるらしい。「サイレントマーケティング」という言い方もあるようだ。何のことを指しているかというと、RFIDを使ってできるようになることを指しているようだ。つまり、コマースやマーケティングという場において、サイレントであることが求められている。
しかし、サイレントであるということは、消費者の直感に反しかねないということだ。上に書いた、CD試聴機が試聴CDを勝手に記録する事例は、まさにサイレントである。
本の個体IDを人の識別子代わりに使おうという発想も、真に狙うところは、無意識のうちの識別だろう。人を識別するのなら、わざわざ本を差し出すまでもなく、RFIDスマートカードを差し出せばよい。これは自発的な意思に基づく能動的な行為だ。カードというものがそういう形に作られている。それに対して、持ち物で識別されるというのは、何ら意識しなくても受動的に識別されるということだ。
.....(時間切れ。つづく。)
*1 消費電力の制約もあることを書き忘れた。
TBSのニュースの森が、シリーズ「安全崩壊」の中で、今週、偽造されたキャッシュカードによるATMからの不正現金引き出し事件の発生をとりあげている。
推定されている手口として紹介されているのが、小型の非接触型スキマーというものがあって、満員電車内などでポケットの財布から磁気パターンを読み出しているのではないかというもの。上の文字の記事では断定的に読めるが、放送では、非接触スキマーの実在は確認されていない様子だったし、満員電車の話は経験したということではなくて可能性として考えられるという様子だった。主婦が警察からそういう可能性を聞かされたと話していた。
これを見て疑問に思ったのだが、カードの磁気パターンに、口座番号と口座名義以外に何か秘密情報が書かれているのだろうか? 秘密情報がないのならば、スキマーなど使わなくとも、口座番号と口座名義のリストがあれば、カードの偽造はできてしまうはず。チェックサム的な擬似秘密情報があるとしても、その生成規則が漏れてしまえば、偽造できてしまうはず。
クレジットカードではスキマーがよく使われていると聞くが、クレジットカードの場合は、カード番号自体が漏れてはいけない秘密情報であるという、そういう前提で成り立っている仕組みなので、名簿が作られることは(漏えいしないかぎり)通常ないわけで、だからスキマーで番号と名義と有効期限を盗むことになる。
それに対してキャッシュカードの場合は、口座番号と名義のリストというものは存在し得る。口座番号は、振込んでもらうために相手に伝える公開情報であるし、Webで公開している場合さえある。また、ある方法で、機械的に大量の口座番号と名義のリストをインターネットで取得することのできる銀行がある*1。この事件に本当にスキマーが使われているのだろうか。
26日の放送では、暗証番号がどうしてわかったのかが謎だと言っていた。27日の放送では、全国銀行協会の、「対策としては過去にも暗証番号の厳正な管理をお願いしている」と、さも、暗証番号の管理に不備があった人が被害に遭っているかのようなコメントが紹介されていたが……。まさかこの手口? そういうことのできる銀行はもうなくなっただろうと思うのだが……。
ちなみに、今回の事件がスキミングによるものだとするのなら、電車内よりも、デビット決済の現場の方がスキミングされやすそうだが、きっと、今回の被害者がデビットを使っていなかったということなのだろう。なぜそれを放送で言わないのだろう?
そして、磁気カードではなく、RFIDの場合も、そうしたスキミングが起きても被害が出ないようにしなくてはならない。
全国銀行協会のサイトに、「盗難通帳による払出し件数・金額等に関するアンケート結果について」というものが発表されていた。盗難通帳による不正引き出しの被害額は平成14年度で41億円にものぼるようだ。