高木浩光流　インターネットの歩き方(後編)

前編では、秋葉原に思いをはせる高木少年がセキュリティ・エバンジェリストになるまでのお話を伺いました。後編では、人気ブログ『高木浩光@自宅の日記』秘話を通じて、私たちが気をつけておきたい、否、気をつけなければならない、そして声をあげていかなければならないセキュリティの問題についてお話を伺います。話はだんだん白熱して･･･。

高木浩光（たかぎ・ひろみつ）
独立行政法人 産業技術総合研究所 情報セキュリティ
研究センター 主任研究員

1994年、名古屋工業大学大学院博士後期課程修了。博士（工学）。 同大助手を経て、1998年、通商産業省工業技術院電子技術総 合研究所に転任。2001年、独立行政法人産業技術総合研究所 に改組。2002年より同グリッド研究センターセキュアプログ ラミングチーム長。2005年4月より現職。専門は並列分 散コンピューティング、プログラミング言語処理系、コンピュータ セキュリティ。

『高木浩光＠自宅の日記』のこと

★セキュリティに関する情報発信というだけでなく、読み物としても独特の存在感がある『高木浩光@自宅の日記』ですが、大変なことなどありますか？何か、いつも怒っていらっしゃるような印象がありますが。

―たしかに動機づけになっているのは苛立ちだったりもどかしさだったりするんですが、書いているときに怒っていたりイライラしているわけではないですよ。結論も根拠も見つかって、これを組み立てれば説得できるぞって準備が整った時点で書いているので。そんなに怒っているように見えますか（笑）？

★そう言われてみると、パフォーマンスとしての怒りというか、ユーモアさえ感じられる文章かもしれません。

―怒りの形をあえて見せて書いているところはあります。「正しいのはこうです」と淡々と書いたところで、読まれないし、伝わらないんですよ。だれしも、自分のことが指摘されてると思って読んだりしないですからね。インターネットが広まって、フラットな時代になったのはいいんですけど、偉い人が何か言っても信用されないっていう状態にもなっているわけです。私が偉い人かどうかは別として、研究所の人が言っているから信用するという時代ではなくなっている。 　そういう中で、どうやったらちゃんと届けられるのか。たとえば、誤った考え方がものすごい勢いで広まっていくときに、どうすればそれを止められるのか。理解している人たちに、それぞれのまわりの人たちを説得してもらうほかないと思うんですね。みんなにそうしてほしいと訴えるつもりで書いています。「オレオレ証明書」の問題※1や「サニタイズ」手法の問題※2はその典型例でした。 もちろん、逆効果もあると思うんですね。私のような書き方が嫌いな人もいて、「こいつの言っていることはもう読まない」となってしまうこともあると思うんですが、そこはトレードオフで、いつもバランスを探っているところです。

※1「オレオレ証明書」の問題： SSLのサーバー証明書は自作のものでも暗号通信に不都合はないという誤解が広まっていた問題。

※2「サニタイズ」手法の問題： Webアプリケーションで脆弱性を生まない開発手法として「サニタイズ」という原理的に誤った考え方が広まっていた問題。

携帯電話のプライバシーが危ない！

★情報を届くようにと、いろいろ工夫なさって活動されている高木さんですが、その一方で、やはり、私たちが知らないことがまだたくさんあるのだろうと思います。これは伝えておきたい、というようなことはありますか。

―そうですね･･･、セキュリティの重要性、大切さっていうのは、日本にもだいぶ根付いたかな、と考えています。だけど、プライバシーの問題については、他の国と比べると、まだまだだな、と思うんですよ。

★プライバシーの問題。セキュリティとはまた違うのでしょうか。

―プライバシーの問題が、どういうところにあるかっていうと、たとえば最近、携帯電話で「携帯の固有番号を送信してください」というエラーが出るサイトが増えています。そこで番号を送信してしまうと、誰が閲覧しているのかが、サイト側にわかってしまいます。それの何がまずいかというと、たとえば、ワンクリック詐欺のサイトに番号を通知してしまうと請求が自宅に届いたりする恐れが出てきます。そういった問題です。 　米国やEU諸国では、そういう固有番号がプライバシーだっていうのはすごく定着して理解されていて、そういう機能を導入していないです。日本の携帯は独自の進化を遂げたといわれたりしていますが、まさに、日本の携帯だけプライバシーのない仕組みになってしまったんですよ。これはいつかやめるべきだと思うんですが、抗議運動をする人は日本では出てこないんですよね。

★確かに、あまり知られていないことだと思います。携帯の固有番号とはどういったものなのでしょうか。

―いろんな呼び方があるんですが、契約者固有IDというのが一般用語として定着したようです。以前は、一部の携帯電話会社しか送信していなかったのですが、去年からでほとんどの携帯電話会社が送信を開始しました。ですから、みなさん、携帯でウェブサイトを見た時には知らぬ間に契約者固有IDをそのサイトに送ってるんですよ。

★契約時の情報を送っているということでしょうか。

―いえ、契約者一人ひとりに別々の番号が割り当てられていて、その番号が送信されます。止める設定もあるんですが、止めるといろいろ使えなくなるサイトが出てきてしまう、という状況です

★契約者固有IDから個人を特定することはできるんですか。

―個人を特定するサイトってありますよね。たとえば、買い物をすると商品の届け先として住所氏名を入れざるをえないサイトなどです。もしそのサイトが、入力された住所と送信されてくる契約者固有IDをセットにして、他のサイトに転売しちゃったらどうなるでしょう？ 住所氏名を入力していないサイトに行っても、個人を特定されてしまうことになります。みなさん、オンラインショップに住所は預けても、どうでもいいサイトに行った時は住所は入れないですよね。だけど、住所氏名と契約者固有IDがヒモづけされた名簿が売買されれば、どこに行っても契約者固有IDだけで個人を特定されてしまうわけです。

★これまでワンクリック詐欺は無視してればよかったのが、自宅に
請求書が来るようになってしまうのですね。それは困ります。

―欧米ではこういうことは非常にうるさく言われることです。欧米の情報システムでは、うまく工夫してプライバシーの問題が起きないように作っています。うるさく言う団体があるのでそうせざるをえない。ところが、日本では、抗議する団体もなければ、議論や調整をする国の専門機関もないので、何のプライバシー対策もしていない技術が普及してしまうのです。

プライバシーは規制だけでは守れない！

★そもそも、なぜ契約者固有IDを付けることになったのでしょう。

―まず、青少年のネット規制の関係があります。EMA※3という団体がありますね。EMAは、たとえば、某社のモバイルサイトは健全ですよ、などと認定したりする団体です。それで、EMAの認定基準のひとつに「悪質なことを行った人を出入り禁止にする措置をとっていること」という要件があるんですね。この要件を満たすために、つまり、一度追い出した人を二度と入れないようにするために契約者固有IDを使うわけです。というのがまず1つ目の理由です。

※3　EMA：一般社団法人モバイルコンテンツ審査・運用監視機構。モバイルコンテンツの健全な発展と、青少年の発達段階に応じた主体性を確保しつつ違法・有害情報から保護することを目的として2008年4月に発足した第三者機関。

―あと、一説には、警察からの要請で契約者固有IDの仕組みが導入されたという噂もあります。たとえば、携帯電話からの書き込みで爆破予告があったときに、アクセスログを見ても、携帯電話会社のゲートウェイのIPアドレスしか出てこないんですね。何時何分何秒にこの携帯電話会社のゲートウェイから書き込まれたといっても、みんなで共有しているゲートウェイなので、何万人くらいの人間が同じIPアドレスを使っているので、結局誰のことだかわからない。書き込みの内容まで携帯電話会社が記録していればわかるのですが、それは通信の秘密に抵触するのでやっていないはずです。 携帯から爆破予告が書き込まれて誰だかわからないというのでは困るというわけで、携帯電話会社に契約者固有IDを送信させるようにする。そうすれば、掲示板運営側で契約者固有IDのログを取っていれば、犯人を突き止められるようになるわけですね。

★セキュリティとプライバシーの衝突ですね。そういう話を聞くと一概に悪いことでもないような気もしてくるのですが。

―ただ、他にもやりかたはあったはずなんです。たとえば、契約者固有IDをサイトに送信してしまうのではなくて、IPアドレスのように、時々変わる番号を臨時で割り当てておけば犯人は突き止められる。毎日変わる臨時IDを送信しておいて、何かが起きた時には、何月何日のこの臨時IDの人が爆破予告を書き込みましたという情報で、警察が携帯電話会社に開示を求めればいいわけです。 この話をまとめると、ちゃんと対策方法はあるのに、安直な方法で実装してしまうというのが日本のダメなところといいたいわけです。米国では、プライバシー擁護団体による激しい抗議運動が起きるので、変な技術が導入される前にプライバシーの問題のない対策をとった技術が導入される傾向があります。一方、EUでは、国のプライバシー専門機関が調整をしているようです。

★こうした問題は、みんなが声をあげて、反対運動をしないといけないんですね。
いわゆる市民活動のようなものでしょうか。法律で規制するわけにはいかないのですか？

―プライバシーの問題は、法律で規制するのはなかなか難しいのでしょう。「ここまではやってもよい」「ここからはやってはだめ」といった線引きが難しい。時代が変わっていけば技術が変わっていきます。線引きもそれによって変わってくることなので、あるタイミングで「これはやっちゃだめ」と決めてしまうと、特に日本の法律はそうなんですが、ものすごく強い規制になってしまうんですね。時代の進歩に法がついていけなくなる。というわけで、下手に規制できないし、立法できないしで、何の規制もかからないという状況になってしまう。 プライバシーにはこういう性質があるので、常に議論していくしかないんですね。そのためには、プライバシー擁護の立場から意見をぶつけていく団体が必要なんですけど......。日本にはそういう団体がありませんね。

啓蒙する側がけしからん？！

★こうしてお話を聞いていると、「実は知らなかった！」ということが多くて驚きます。ほかにも何かありますか？

―セキュリティに関する間違った情報が多いという話を１つだけしますと、たとえばパスワードは定期的に変更してくださいってよくいいますよね。これは間違いです、と私は主張しています。むしろ変更しないほうがよい、と。パスワードを毎月変えると覚えられないでしょう。しょっちゅう変えなさいというのは、無理な要求をしているわけです。定期的に変えてくださいといっているサイトに、定期的というのは実際どのくらいですかって聞いてみるとね、誰も答えられないんですよ。

★答えはどのくらいなんですか？

―パスワードを変更せよという理由が、パスワードを盗まれたときの対策だってことなら、毎日変更しないと意味ないですよね。盗まれたらすぐに使われるんですから。毎日変えてても間に合わないかもしれない。

★パスワードはずっと同じものを使っていてもよいのですか。

―盗まれることが問題なら、盗まれないように気をつけるしかない。たとえば、ネットで使うときは、SSLが使われているhttpsのページになっているのを確認してから使っていれば盗まれることはないです。暗号が解読されるまでに変更しないといけないという話はありますが、それは何十年とかかる話です。ただ、サイト側がパスワードを流出させてしまったときは、早く通知をもらって変えること。それから、自分がウイルスやスパイウェアに感染してしまった場合もどうしようもないので、そのときはそのとき、ですね。それはパスワードを変更していても防げないですからね。

★すごくシンプルですね。それなら守れそうな気がします。

―これは啓蒙する側に問題があるんですよ。パスワードを定期的に変更することに意味のある場合もあるんですよ。だけど、意味のない場合にまで、変更せよと言う。なぜその対策をとるのか根拠が明らかでないのに、他の人が言っているからってことで、理由もわからず対策を押し付ける。実行するのに無理があるセキュリティ対策を、あれもこれもやれという。そうすると、やってるほうとしては、「セキュリティって、やってもやってもだめなんだ...」ってなっちゃうでしょう。本当は、必ずやらなければいけない対策だけやってればいいのに、あれもこれもということで、かえって、みんな何もやらなくなってしまうんですね。本当にやらなければならない対策とそうでない対策の区別がつかなくなってしまう。そういう問題があると思います。

★本当にやらなければならない対策は、そう多くはない、と。

―はい。最後にぜひ言いたいのは、セキュリティの啓蒙活動をする文化が育ってきてですね、セキュリティのことを語る人が増えてきたのはいいのですが、どういう根拠でその対策が必要と言っているのか、ちゃんとプロとして考えてから言ってほしいということです。

★なるほど。ユーザーのリテラシーだけではなく、啓蒙する側の正しさというのも高木さんが訴えていることなのですね。

―啓蒙する側の正しさ。『セキュリティいろはかるた』にも言えるところがあったかもしれない、なかったかもしれない...のですが！（笑）

★あれは武田先生の徹底した監修の下、作成されたものですので、そのようなことはないはずです（笑）。そういえば、『セキュリティいろはかるた』は、いかがでしたか。

―おもしろいですね。イラストもかっこよいですし。職場でも遊んでみたいです。時間があれば。

★お手すきの際に、ぜひ、みなさんで遊んでみてください。今日はいろいろなお話をどうもありがとうございました。

セキュリティ・エバンジェリスト　高木浩光ができるまで　前編へ