携帯からのWebアクセス履歴が筒抜けになる??

アクセスしたサイトに契約者のIDが通知されているので、契約者IDと住所等の個人情報が組み合わされたデータベースを作成されてしまったら、どこの誰は、普段どういうサイトを見ていて、何を購入した、というのが分かってしまう虞があるという話があるそうです。

日本のインターネットが終了する日(高木浩光@自宅の日記)


高木さんはセキュリティの専門家で、様々なネットの脆弱性についての警告等を行う人なのですが、プライベートブログで、携帯からのWebアクセスにおける危惧についての長文の警告を書いているというので読んでみました。

かなりの長文で、かつインターネット網についての多少の知識も必要なので、全部読み通すには敷居が高〜い文章なのですが、ちょっと物騒な話ですね。


個人的に要点をピックアップするとこんな感じ。

●DoCoMoなどの携帯キャリアは、iモードなどを通じたWebアクセスにおいて、契約者固有ID(個体識別番号)を、Webサーバ側に通知するように仕様を変更した。

●これによりWebサイト運営側が持つアクセスログの中で、アクセス者を「携帯端末」レベルで特定可能になる。

●一般には、アクセス者が特定できるということで、犯罪予告のようなものを携帯から行った場合に、書き込み者が見つかりやすくなるとか、端末単位での認証により有害情報が載っているWebへのアクセスをブロックできる、といったメリットがあると説明されている。

●逆に、全てのサイト管理者がこの契約者固有IDを取得できる(自分のサイトにアクセスしてきた人の分だけではあるが)ため、例えば自分のサイトでの会員登録等の住所や氏名を入手し、この契約者IDと結びつけたリストを作成して、外部に流出する(漏洩でも販売でも可)と大きな問題になりうる。

●具体的には、
→ 携帯向けWebサイトの広告会社などが、このアクセス記録から、特定の個人がどういったサイトを巡回しているかを調べることが可能になる(ネット上での個人の行動が分かることは広告会社にとってビジネスチャンスである)。

→ 仮にどこかのネットショップが契約者固有IDと顧客情報を組み合わせたデータベースを作り、流出させた場合、そのデータベース入手者は、自分のサイトのアクセスログにある契約者固有IDと照合するだけで、自サイトへアクセスした人の氏名や住所等を割り出すことができるようになる。
(ex. たまたま訪れたネットショップなどで商品送付先の住所氏名を記入するといったことをしたことがあると、ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。)


●自己防衛を考える場合は以下の行動が必要
→ ケータイWebにおいては、絶対に住所氏名を入力しない。
→ 商品配送先として住所氏名の入力が必要となるネットショップは利用しない。(着メロ等のダウンロード購入のように、住所氏名を送信する必要のないショッピングしかしないようにする。)
→ どうしても物を買いたいときは、携帯電話会社が運営するショップを使う。(携帯電話会社は、ユーザIDを流用することはないので。)

→ ケータイWebにおいては、完全に匿名で使うことを覚悟するか、又は、常に非匿名であることを前提に行動する。
※匿名を選択する場合は、自分が誰であるかわかるようなことを、どのサイトでも明らかにしないようにする。
※非匿名を選択する場合は、自分が誰であるかはどのサイトでも知られ得ると覚悟して、それでもかまわない行動しかとらないようにする。


元々、インターネットにも繋がらないようなPHSを10年近くも使い、機種変更をした今でもほとんどネットアクセスを実施していない(出先で何か調べるために地図とかWikiとかお店検索をする程度)ので、携帯から買い物とか、あまり実感が湧かないのですが、

携帯ショップは、かなり成長率のいい市場らしく個人参入とかも行われているらしいので、情報管理とかで信用できないお店で買うのはかなり危ない、という話になりそうですね。


いつまで経ってもネットは安全にならないどころか、心配の種ばかり増えますねぇ。

BIGLOBEニュースロゴ

ニュースをもっと見る

最近の画像付き記事