アカウント名:
パスワード:
「ただし、SSL通信時にiモードIDは付与できない。」てのは、逆なんじゃないのかと思うんですが。
2000年3月30日のケータイWatch(旧モバイルセントラル)の報道によると、当時IDOの広報は次のように答えていた。 IDOのEZaccessサービスで、利用者の電話番号がWebサーバー側に分かってしまうという問題があることが明らかになった。 (略) 同社広報では、「サービス開始当初からこうした仕様になっていることは分かっていたが、電話番号をもって個人を特定することはできないので、特に対処はしていなかった。4月中旬から6月を目処にDDI-セルラーやツーカーと同様の方式にシステムを変更する。利用者からの問い合わせ件数については把握していないが、何らかの形で利用者への告知を行なうことも検討しているところ」としている。 ケータイWatch, IDOのEZaccessにプライバシー問題, 2000年3月30日 [impress.co.jp] 「サービス開始当初から分かっていた」にもかかわらず、「電話番号をもって個人を特定することはできないので、特に対処はしていなかった」というIDOの認識に呆れるのだが、わずか数年後に訪れることとなった、架空請求詐欺やら、おかしな請求が続発する社会の情勢というものに、IDO社員達は想像が及ばなかったのだろう。
2000年3月30日のケータイWatch(旧モバイルセントラル)の報道によると、当時IDOの広報は次のように答えていた。
IDOのEZaccessサービスで、利用者の電話番号がWebサーバー側に分かってしまうという問題があることが明らかになった。 (略) 同社広報では、「サービス開始当初からこうした仕様になっていることは分かっていたが、電話番号をもって個人を特定することはできないので、特に対処はしていなかった。4月中旬から6月を目処にDDI-セルラーやツーカーと同様の方式にシステムを変更する。利用者からの問い合わせ件数については把握していないが、何らかの形で利用者への告知を行なうことも検討しているところ」としている。 ケータイWatch, IDOのEZaccessにプライバシー問題, 2000年3月30日 [impress.co.jp]
IDOのEZaccessサービスで、利用者の電話番号がWebサーバー側に分かってしまうという問題があることが明らかになった。 (略)
同社広報では、「サービス開始当初からこうした仕様になっていることは分かっていたが、電話番号をもって個人を特定することはできないので、特に対処はしていなかった。4月中旬から6月を目処にDDI-セルラーやツーカーと同様の方式にシステムを変更する。利用者からの問い合わせ件数については把握していないが、何らかの形で利用者への告知を行なうことも検討しているところ」としている。
ケータイWatch, IDOのEZaccessにプライバシー問題, 2000年3月30日 [impress.co.jp]
「サービス開始当初から分かっていた」にもかかわらず、「電話番号をもって個人を特定することはできないので、特に対処はしていなかった」というIDOの認識に呆れるのだが、わずか数年後に訪れることとなった、架空請求詐欺やら、おかしな請求が続発する社会の情勢というものに、IDO社員達は想像が及ばなかったのだろう。
「電話番号をもって個人を特定することはできない」ってすごいですね。今も言っていることは同じかと。
ストーリーのタイトルがおかしいです。元記事の趣旨は、携帯が非匿名化されたことではないでしょう。携帯の秘匿名化が既成事実となって、将来インターネットにも波及するかもという話ですよね。
「PCに固有のユーザーIDを付けてアクセス者を一意に特定できるようにするべきだ」という議論は昔からあったが、
するべきだ?そんな議論ありませんでしたよ。逆でしょ。「PCに固有IDを付けてアクセス者を特定できるようにしてはいけない」という議論が昔からあったわけで。
タレコミ人は元記事を読んでないとしか思えない。
ここで重要なのは、これらのケータイWeb向けのバナー広告会社は、サイト横断的に閲覧者の行動履歴を取得できてしまうという点である。バナー広告の貼られたWebページを閲覧すると、同時に、広告会社のサーバにもアクセスすることになる。これは、埋め込まれている広告画像をダウンロードするために発生する。そして、その広告会社のサーバへのアクセスには、契約者固有ID(個体識別番号)が送信されることになる。したがって、あちこちの Webサイトに同じ広告会社のバナー広告が貼られている状況になると、同じ人物がどのWebサイトを何時何分に訪れたかを広告会社が把握できるようになってしまう。「行動ターゲティング広告」とは、消費者がどんなWebサイトを閲覧しているかの行動を分析することで、それに合った広告を表示しようとするものである。しかも、契約者固有IDは全てのWebサイトに同じ番号が送信されているのだから、通販サイトや、懸賞サイト、アンケートサイトなど、どこかのサイトで住所や氏名を入力すると、そのIDの人がどこの誰であるかが紐付けられることになる。もし、広告会社が、各IDの人のWeb閲覧履歴情報を他社に販売するような事態になると、その情報を購入したWebサイト運営者は、自分のサイトに来た人がどんな行動をしている人か把握できるようになる。また、自分のサイトに入力される住所氏名によって、どこの誰がどんな行動をしているかを把握できるようになる。日本の法律ではこういった行為が明確に禁止されていない。日経新聞の記事でNTTドコモが言っているように、契約者固有IDが個人情報保護法の言う個人情報に該当しないのであれば、広告会社が「各IDの人のWeb閲覧履歴情報を他社に販売する」行為は合法ということになってしまう。NTTドコモのサポートセンターが言うように、iモードIDが「基本的にお客様にずっと通して使って頂くもの」であるなら、何年、何十年にも渡って行動履歴が蓄積される。しばらくの間は匿名のままでいられるかもしれないが、いずれ、それが誰であったか紐付けられる日が来ると、過去に遡って何年、何十年もの行動が自分のものだと特定されてしまう。「自分の趣味に合ったダイレクトメールが郵送されてくることくらい気にならない」という人もいるだろうけれども、こうした「行動ターゲティング」は、必ずしも真っ当な事業者だけが行うとは限らない。たとえば、ヤミ金融業者や、悪質リフォーム業者、架空請求詐欺団などは、弱者を求めてカモリストを欲しがっており、ケータイWebの閲覧行動履歴は、そうした業者にも活用されてしまうだろう。
すべての関係者にこの固有IDの問題を正しく理解してもらいたい。私はなにも、ケータイWebでID送信を開始したことに反対しているわけではない。冒頭に書いたように、青少年ネット規制対応のためには避けられないことだったと理解するし、限られた使われ方しかしないケータイWebでなら概ねあり得る選択かなと理解する。それなのに、この問題について語っただけで、反発する人がいる。そういう人は、反発するが故に、問題自体が存在しないと主張する。それが危険だ。問題の存在を理解した上で最終設計を選択するならよいが、設計が先にあってそれに不都合な問題には目を瞑るという態度は危険だ。より良い(問題の小さい)設計が存在しても、それに気付かなくなってしまう
ケータイWebにおいては、絶対に住所氏名を入力しない。 商品配送先として住所氏名の入力が必要となるネットショップは利用しない。(着メロ等のダウンロード購入のように、住所氏名を送信する必要のないショッピングしかしないようにする。)どうしても物を買いたいときは、携帯電話会社が運営するショップを使う。(携帯電話会社は、ユーザIDを流用することはないので。) ケータイWebにおいては、完全に匿名で使うことを覚悟するか、又は、常に非匿名であることを前提に行動する。 匿名を選択する場合は、自分が誰であるかわかるようなことを、どのサイトでも明らかにしないようにする。非匿名を選択する場合は、自分が誰であるかはどのサイトでも知られ得ると覚悟して、それでもかまわない行動しかとらないようにする。
IPv4 では一人暮らしの人がルータ NAT で出て行っても特定されないとでも思ってますか?
IPv6 の上位 64bit がバレバレで匿名 IPv6 アドレスじゃ話にならないと思うなら、それすら変わらない IPv4 なんて使えなくなりますよ。
# ISP が DHCPv6 でアドレスを配る、という発想もないのでしょうか。もしかして。
キャッシュもはってくれてるんだから本文読んだら?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
とめてます (スコア:4, 参考になる)
docomoのWebサイトでとめる手順も出ていたので即効で無効にしました。
私はニュース見たり銀行使ったりする程度なのでいままで困ったことはありません
『iモードID』の提供開始について [nttdocomo.co.jp]
Re:とめてます (スコア:3, 興味深い)
製造番号情報を要求されるなら都度判断して送ってあげてもいいのですが,
無差別に送出されるiモードIDを必須にされるとちょっと辛いですね.
life is game. play it cool.
Re:とめてます (スコア:2, 参考になる)
サイト側から要求されれば自動的に送出されるのが嫌だという意味でした.
# Cookie 拒否できない PC 用ブラウザがあったら, 広告屋以外には見向きもされないっしょw
>「ただし、SSL通信時にiモードIDは付与できない。」
http://neta.ywcafe.net/000840.html [ywcafe.net]
ここをみて, …なるほど, な感じです. たしかに中途半端だ.
どうせユーザの個別許諾なしに送出するなら, サイト側からのリクエストも不要にすればいいのに.
公式サイトは UID 拾えるってのは聞いたことがありました. 公式資料は見たことないです.
My Menu 登録周りで UID 拾ってるっぽい挙動をしますから, 推測することもできました.
ただそれが GUID なのかは判りませんし, 非技術系ユーザ一般に認識されているかは疑問です.
life is game. play it cool.
Re:とめてます (スコア:1)
uid=NULLGWDOCOMO ていうURLを見たことがありませんか? これが「uidを送れ」指令です。
uidは、公式として登録したサイト以外では取得できません。
Re:とめてます (スコア:1)
guid ではなく, また(敷居が高い)公式サイトだけなら個人的には許容できる範囲内だと思っています.
ですが iモードID の導入によって, 高木さんの言うとおり「非匿名のネットワークアクセス」が前提と
なってしまった環境では, 根本から過ごし方を考えようと思います…
life is game. play it cool.
Re:とめてます (スコア:1)
SSL通信時にデータの書き換えができるのは問題かと。
# 昔の端末だとGWまでSSLだったからできるかもしれないけど。
Re:とめてます (スコア:1)
ユニークな情報がユーザに確認されずに送出される設定がデフォルトになっていることに正直驚いた。
セキュリティが重視される昨今、このデフォルト設定はいかがなものか。
固定IDだったらまだマシだよ (スコア:3, 興味深い)
#流石にAC
昔のIDOですね (スコア:1, 興味深い)
「電話番号をもって個人を特定することはできない」ってすごいですね。今も言っていることは同じかと。
Re: (スコア:0)
Re:固定IDだったらまだマシだよ (スコア:1)
Re:固定IDだったらまだマシだよ (スコア:1)
Re:固定IDだったらまだマシだよ (スコア:1, 興味深い)
今は「EZ番号」だけど。
昔は荒らし対策にはサブスクライバIDは十分効果的だったこともある (スコア:3, 興味深い)
docomoはサブスクライバIDは環境変数としてデフォルトでは投げない仕組みになっていたので対策が大変なんすよ。
まさかdocomoごと拒否するのもかわいそうだし。
Re:昔は荒らし対策にはサブスクライバIDは十分効果的だったこともある (スコア:1)
HTTP_X_UP_SUBNOがあるのはauだけだと思いますが。。。
J-Phone(というか後期のVodafone以降)は、普通にUserAgentの中に付加情報として入ります。
DoCoMoの場合はguid=ONまたはUTNを付加すればよろしいかと。
ちなみに環境変数なんて簡単に偽造できるので、本来であればIPベースでやるべきですね。
#信頼度で言えば、IPベース>>逆引きDNSベース>環境変数ベース>UserAgentベース>JavaScriptベース>URLベース ってとこかな?
Re:昔は荒らし対策にはサブスクライバIDは十分効果的だったこともある (スコア:1, すばらしい洞察)
「環境変数を偽造」ってどこのスーパーハッカーですかと。
proxyサーバ (スコア:1)
とか思ったけど、ドメインでバレバレですなorz
1を聞いて0を知れ!
Re:proxyサーバ (スコア:1)
Re:proxyサーバ (スコア:1)
そういうアクセスは難しいと思われます。
# htmlにアクセスしてきたIPと、そこのimg srcですらIPが違うこともある。
アクセス先のurlとIDでハッシュするならいけると思いますが。
# その場合、既に稼動済みのコンテンツがurl移転するとき大騒ぎでしょうけど。
携帯向け通販サイトの運営がつらくなるかも (スコア:1)
商売が成り立たなくなったりしないでしょうか。
そして、キャリア側が「うちで配送請け負いますよ」とか提案して
おいしいとこ持っていかれちゃったり。
Re:携帯向け通販サイトの運営がつらくなるかも (スコア:1)
個人情報保護法の問題はありますが。
95年からインターネット導入していますが (スコア:1)
クレジットカード番号をびくびくしながら入力したあの感覚を今も忘れません。
#本当は今もびくびくしています、月一のカード決済のチェックは欠かせません。
タレコミは元記事ほんとに読んだの? (スコア:1, 参考になる)
ストーリーのタイトルがおかしいです。元記事の趣旨は、携帯が非匿名化されたことではないでしょう。携帯の秘匿名化が既成事実となって、将来インターネットにも波及するかもという話ですよね。
するべきだ?そんな議論ありませんでしたよ。逆でしょ。「PCに固有IDを付けてアクセス者を特定できるようにしてはいけない」という議論が昔からあったわけで。
タレコミ人は元記事を読んでないとしか思えない。
ここでいう個人情報って何? (スコア:0)
B)アクセス者の個人情報を収集しやすくなってしまう
Aに関しては識別IDが来るので当然の話ですが、Bはどういう意味なのでしょうか?
識別IDがあることで収集できる個人情報って何のことでしょう?
個人情報保護法の個人情報は、特別な状況でない限り、問い合わせしてもキャリアから
頂くことはできませんし、識別IDを入手可能な対応データと紐付けをしたり、
他の事業者と協力するか何かで手に入れられるものなのでしょうか。
今回の話題における個人情報の内容と、その根拠が知りたいところです>タレコミ氏&編者
#元記事のまんま引用なのかな?(リンク先はなぜか503エラーで読めない)
Re:ここでいう個人情報って何? (スコア:5, 参考になる)
つ googleキャッシュ [72.14.235.104]
論拠の記述に時間がかかっているのが解る(補足だけでも本文と同じ位の長さ)ので、主張の要点を掴むのが大変かもしれません。
全部目を通す時間が無い人もいると思いますから、AとBについての解答になると思える所を抜粋しておきます。 本当は文書の意図であるこの部分を一番最初にもって来ておくと良かったと思います。 ただ、実際のデータから論拠を積み重ねないと理解しないうちに反発する人がいる(いた)からでしょうかね。実際、AC氏も読む前に質問を発していますし(笑)
ID送信が横並びになった今後の安全な利用原則を、次の「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として挙げています。
Re:ここでいう個人情報って何? (スコア:2, 参考になる)
キモは、収集できるようになるというのでなく収集しやすくなるということ。
どこぞのサイトが何らかの個人情報を携帯電話から入力させIDと紐付けて記録しておくことができるようになると、その個人情報とIDの紐付けが漏洩したら最後そのIDでのアクセスはすべて個人情報と紐づいてしまう可能性がある。
限定された公式サイトだけならまだしも勝手サイトにまでIDを送信するのなら、なかには情報管理が甘くて漏洩させてしまうサイトもあれば積極的に売却目的で個人情報を集めるサイトもあるでしょう。
自分で収集しなくても買ってこれる機会が増えるんだから収集しやすくなるといっていいでしょうね。
Re:ここでいう個人情報って何? (スコア:2, おもしろおかしい)
---------------------------------------
○月○日 ××をサイト△で購入
○月○日 掲示板サイト■に□と記述
○月○日 アダルトサイト××を閲覧
:
---------------------------------------
とか、ずらずら書き出されたらショックが大きいだろうね。
ある意味、ビジネスチャンスかもしれないけど。
-- yuno
Re:ここでいう個人情報って何? (スコア:1)
ビジネスチャンスはチャンスだろうけれども、いろんな意味でチャンスになりすぎるだろうというお話。
◆IZUMI162i6 [mailto]
Re:ここでいう個人情報って何? (スコア:1)
◆IZUMI162i6 [mailto]
Re:ここでいう個人情報って何? (スコア:1, 参考になる)
いろいろまずいという感じだった気がする。
Re:ここでいう個人情報って何? (スコア:2, 参考になる)
元ネタによると
> しかし、ネットショップYは、顧客が5000人以下で個人情報保護法の個人情報取扱事業者に該当しないとの認識から、顧客リストを売却してしまう。
が成り立つらしいので、その辺の小規模ショップには住所を入力するな、とある。
じゃあ楽天とかならいいかといえば・・・何度も情報流出やらかしてるよねえ・・・
IDあってもなくても一緒じゃないの?
Re:ここでいう個人情報って何? (スコア:1)
>IDあってもなくても一緒じゃないの?
IDがあれば、「情報流出があった店を利用した以外」で、いつどこで何のサイトを見たか、
追跡が出来てしまうと、IDをバナー会社で調べれば他の利用履歴が把握されちゃうよと。
そういうリスクを受容して使わなければならないよ、というのが文中のガイドラインかと。
Re:ここでいう個人情報って何? (スコア:1)
life is game. play it cool.
つながらない人用に (スコア:0)
IPv6 (スコア:0, オフトピック)
Re:IPv6 (スコア:2, すばらしい洞察)
Re:IPv6 (スコア:2, 参考になる)
>将来こんなセキュリティ脆弱性情報が流れるかもしれない。「○○が誤ってpublicアドレスを使用する脆弱性」などと。
>必要に応じて匿名アドレスを使い分けるのだとしても、まだ疑問がある。IPv6アドレスのプレフィクス部(上位64ビット)はどうなるのかだ。
>常時接続提供業者は、アドレスを変更する機能を提供するべきだと思うが、どうか。これは消費者が望まなければサポートされることはないだろう。
>IPv6の意義が語られるとき、匿名アドレスを使わないことを前提としたものが目立つことに注意してほしい。
匿名アドレスという仕組みあるので、携帯の固有IDと同列には語るべきではないが、高木さんが危惧してると言えなくも無いかもしれない。
Re:IPv6 (スコア:1)
何故サブスクライバIDは許容できなくて、IPv6は許容できるのかわかりません。
後半64bが匿名されても、前半64bはばればれなので、一人暮らしの人は特定されちゃうと思うのですが。
Re:IPv6 (スコア:1)
IPv4 では一人暮らしの人がルータ NAT で出て行っても特定されないとでも思ってますか?
IPv6 の上位 64bit がバレバレで匿名 IPv6 アドレスじゃ話にならないと思うなら、それすら変わらない IPv4 なんて使えなくなりますよ。
# ISP が DHCPv6 でアドレスを配る、という発想もないのでしょうか。もしかして。
Re: (スコア:0)
Re:IPv6 (スコア:1, 興味深い)
Re:IPv6 (スコア:1)
そこまでしても、アクセス毎に変わらない端末IDでは、一箇所で新しいIDの情報取得に成功すれば、
元々のIDの情報と再び紐づいてしまうと言う事になりかねませんよね。
Re:IPv6 (スコア:1, 参考になる)
>「IPv6になればどのみちIPアドレスで個人が特定されるようになる。
>それは世界の技術者が許しているのだから、問題ないはずだ」という考えは、
>半可通の技術者が陥りやすい誤った考えである。
ってありますね。
当然その理由も書いてあります。
#読んだのはGoogleのキャッシュです。
Re: (スコア:0)
キャッシュもはってくれてるんだから本文読んだら?
Re:個人情報 (スコア:2, 興味深い)
普通のエロならまだしも、児童ポルノだった日には今後の国会の如何によってはお縄になってしまう可能性すらあります。
Re:個人情報 (スコア:2, すばらしい洞察)
そこで、脅迫や情報削除料を要求する詐欺犯罪が横行する訳ですね、わかります。
Re:個人情報 (スコア:1, すばらしい洞察)
ひも付けされたメールアドレスへの一方的送り付けとセットで。
詐欺に応じないで無視し続けると通報されるという...
素晴らしい世界がすぐそこに (スコア:2, すばらしい洞察)
個人の発言をトラックできる仕組みと人権擁護法が合わさったら、あら素敵。
「在日特権が云々」とか、「大阪のドーンセンターへの補助金は(ry」とか、先日 /.-j でもホットに盛り上がってた「顕微受精での胚の選別や羊水検査ってどうよ」なんって話も『差別だと思った人が差別だと言えば差別』なんて理論で個人をトラックされたら、、、、なんて素敵な1984な世界。
悪意を持ったユーザを排除する仕組みとしては悪くないかもしれないけど、ツールとして見たときには、乱暴な使い方への配慮にあまりに欠けるような気がしてきた。(「バール」が犯罪を引き起こすわけではないけれど、「銃刀」の規制はやっぱり必要だよね。)
Re:今更? (スコア:1)
http://srad.jp/security/article.pl?sid=08/03/29/1859215 [srad.jp]
最近になって青少年保護の話と連動してたことに気が付いて
日記のエントリをおこしたんじゃないかな?
Re:固有IDとGPS (スコア:1)