UDID及び類似方式による行動ターゲッティング広告のセキュリティ実験に関する呼びかけ

Hiromitsu Takagi @HiromitsuTakagi

いろいろヤバい。ネタのストックは大量にあるが、ウイルス罪やら番号制度やらが優先で、書いていく時間が足りてない。もうTwitterで先出していくしか。

Hiromitsu Takagi @HiromitsuTakagi

UDIDやスーパークッキー同等の問題は英語圏でいずれ必ず問題視されて路線変更に至るが、日本の人たちがそれに取り残されてしまって、後で困ったことになることが国家的損失。そうならないよう早め早めに啓蒙していくことが重要であるところ。残念ながら政府の取組みは極めてお粗末で、…

Hiromitsu Takagi @HiromitsuTakagi

…政府の取組みは極めてお粗末で、セキュリティについては2003年ごろから積極的に取り組まれるようになったが、データプライバシーはそれとは全くの別物とみなされていて、政策課題に一切なっていない。セキュリティ専門家と言われる人々でも、データプライバシーには無関心な人が少なくない。

Hiromitsu Takagi @HiromitsuTakagi

たとえば、2003年の経産省「情報セキュリティ総合戦略」で策定研究会の構成員をしていた私は、ネタ出しの最後の段階で、当時話題だったRFIDの問題を提案したが、他の構成員からのブーイングがあり、通らなかった。もっとも、私も強くは言わなかったわけで、無理を承知での提案だからだった。

Hiromitsu Takagi @HiromitsuTakagi

当時、無理と思った背景：(1)RFIDの件は顕在化するのが遠い将来のことだった（2011年でも顕在化していない）。(2)当時顕在化していた唯一の問題はauのサブスクライバーIDで、一社の問題を扱うのはやりにくかった。(3)一般のWebブラウザ方面は英語圏に任せとけばよかった。

Hiromitsu Takagi @HiromitsuTakagi

日本でももし欧州的なプライバシーコミッショナーがあるか、米国のFTC的機能を公正取引委員会が持っていたら、データプライバシーの問題は政策課題とされやすかったに違いない。データプライバシーとは次元軸の異なる個人情報保護法なるものによって手当済みと、日本政府は誤った立場をとっている。

Hiromitsu Takagi @HiromitsuTakagi

「日本政府は誤った立場」の論拠は、APEC Privacy Frameworkで提出された日本国のデータプライバシーへの取り組み状況の報告の表に現れている。憲法からプライバシー権が確立していることと、個人情報保護法があることを理由として、ほとんど解決済みのようなことを言ってる。

Hiromitsu Takagi @HiromitsuTakagi

これは、欧米諸国で期待されているデータプライバシーがどんなものかをはき違えた回答だ。憲法からのプライバシー権云々は、データプライバシーの話ではないし、個人情報保護法の理念は、行政手続法の延長的な「住所氏名保護」であって、プライバシー保護となっていない。

Hiromitsu Takagi @HiromitsuTakagi

2003年の経産省情報セキュリティ総合戦略を改めて見てみると、プライバシーという単語は出てくるものの、いずれも、情報漏洩対策というセキュリティ施策を進めるにあたり、その目的としてプライバシーが掲げられているにすぎない。ケータイIDやRFID、UDID、スーパークッキーなど、…

Hiromitsu Takagi @HiromitsuTakagi

…など、データプライバシーを脅かすアーキテクチャ上の欠陥を問題とする記述は、最後の「おわりに」で、「セキュリティとプライバシーの関係」として7行の考察が書かれているだけになっている。その7行は以下の通り。…

Hiromitsu Takagi @HiromitsuTakagi

…「セキュリティ確保のために公的な基盤を強化すると、結果として公的機関による個人の監視につながるとの懸念や、cookieや電子タグなど利便性が高まる新技術が普及すると、知らない間にプライバシーが損なわれうる場合があるとの懸念が指摘されることがある。暗号等のセキュリティ技術の高度…

Hiromitsu Takagi @HiromitsuTakagi

…高度化やセキュリティ対策の促進は、本来、各個人の情報の管理可能性を高めるものであり、結果としてプライバシー保護につながるものであるが、今後、こうした、プライバシーとセキュリティ、そして新技術の相関関係について、深化した検討が必要である。」 経産省情報セキュリティ総合戦略p.63

Hiromitsu Takagi @HiromitsuTakagi

その記述が入っただけででも前進であったが、その後、この総合戦略の指摘通りに「深化した検討」が（経産省で）行われたことはない。担当者が異動するとそこで途切れ、政策の継続性に欠ける。

Hiromitsu Takagi @HiromitsuTakagi

なお、この情報セキュリティ総合戦略は、脆弱性届出制度創設の根拠となったものであり、そこは成功している。関係者の皆が、脆弱性届出制度にかかり切りで、他に手を広げる余裕はなかったとも言える。

Hiromitsu Takagi @HiromitsuTakagi

ちなみに、この経産省情報セキュリティ総合戦略（2003年）は、「プライバシー情報保護のあり方に関する検討」として唯一挙げているのが「プライバシーマーク制度の見直し」となっている。「3年以内に実現する項目」となっているが、はたして、見直しは行われたのか。

Hiromitsu Takagi @HiromitsuTakagi

今年4月のNISCの「サイバー空間の安全性・信頼性向上のための課題等について」では、検討委員を務めたことから、データプライバシーについて検討課題として入れ込むことができた。情報セキュリティだけを任務としたNISCが、そこに言及できたことは（日本としては）画期的。問題は、課題とし…

Hiromitsu Takagi @HiromitsuTakagi

…問題は、課題として挙げたまではいいものの、これから本当に課題の検討を取り組むのか、ということ。（担当者は異動で総入れ替えになっているのに。）

Hiromitsu Takagi @HiromitsuTakagi

話を戻すと、英語圏の動向に日本の人たちがついていけるよう啓蒙するには、データプライバシーの問題を情報セキュリティの問題へと昇華させて見せる具体的なデモをすること。昨年の「電波チェッカー」問題は奇跡的にうまくいった例の一つ。他にもアイデアはあったが、実演してみせる時間的余裕がない。

Hiromitsu Takagi @HiromitsuTakagi

自分には時間がないので、皆さんにお願いしたい。まず、UDIDを使っていると思しきiOSアプリを洗い出す。特に、広告関係。行動ターゲティング広告になっているものを探す。アプリで行動ターゲティングというのはちょっと解せない（何の行動をソースにする？）が、探し出したい。そして、…

Hiromitsu Takagi @HiromitsuTakagi

…そして、自分好みの広告が出るところまで使い込む。そうなったと客観的にみなせるほど、特定の嗜好に偏った使い方をあえてして、その嗜好に合った広告が出ることまでを立証する。できるだけ特殊な嗜好である方が説得力がある。実験開始前の操作の影響が及ばないようにし、操作の手順をメモにとり、…

Hiromitsu Takagi @HiromitsuTakagi

…メモにとり、実験の客観性を確保。次に、Jailbreak済みの別のiOS端末を用意し、UDID fakerでUDIDを先の端末のものに変更して同アプリを用い、同類の広告が現れることを示す。可能ならばプロトコルを解析して、直接HTTPで任意のUDIDの送信が可能であることを示…

Hiromitsu Takagi @HiromitsuTakagi

…示す。これにより、他人の識別子を使って（実験では自分の識別子を用いること）行動ターゲティング広告を閲覧することにより、その人の趣味嗜好を知ることができてしまうことが実証される。

Hiromitsu Takagi @HiromitsuTakagi

なお、アプリでない通常のWebブラウザ向けの行動ターゲティング広告ではこういうことは起きない。なぜなら、cookieはsame originポリシーによって守られているため、行動ターゲティング用の識別子は広告サイトにしか知られることがない（広告サイトが故意に送信しない限り）ため。

Hiromitsu Takagi @HiromitsuTakagi

つまり、先ほどの実験シナリオ案は、UDID（や同類のもの）を用いる方式による行動ターゲティング広告のセキュリティ欠陥を指摘するものとなる。

Hiromitsu Takagi @HiromitsuTakagi

そしてもう一つ。同様の実験を、ガラケー向け行動ターゲティング広告に対して行う。他人のケータイIDを広告サーバに送信することで、その人の趣味嗜好を知ることができてしまう。（いずれ自分でやってみるつもりだったが、時間がないので、皆さんの協力によりいっきに片付けたい。）