セキュリティめがね 第10回　ネット利用の幻想、匿名だから安心という勘違い

Tweet

　インターネットの掲示板やブログを見ていると、人を誹謗中傷する発言を見かけることがあります。こうした書き込みを助長する原因の一つに、「インターネットの匿名性」が挙げられるのではないでしょうか。どんな発言をしても、個人を特定されることがないから安心という訳です。

　しかし、ここ数年、高い匿名性があるといわれていたはずのP2Pファイル共有ソフトWinnyのユーザーが逮捕されたり、匿名掲示板に物騒な犯行予告を書き込んだ少年が補導されたりと、インターネット関連の検挙が目立ちます。匿名なのに、なぜ逮捕されたのでしょうか。インターネットは本当に匿名なのか？　そんな疑問が湧いてきます。

　こうした、インターネットの匿名性につけ込んだのが、ワンクリック、ツークリック詐欺です。

　これは、メールなどで巧みに誘導されて、Webサイトにアクセスしたとたんに、「あなたのプロバイダは○○です。お使いのブラウザは□□です。IPアドレスは xxx.xx.x.xxx です。お客様の個人識別情報を記録しました」といった文言が表示され、法外な利用料金が請求されるというものですが、自分が契約しているプロバイダや、使っているWebブラウザの名称など、確かな情報がそこに書かれていると、「自分の個人情報を押さえられてしまった」という錯覚に陥ってしまうのです。

　今回は、インターネットを使うことで、どのような情報が相手に伝わり、そこから、どんな情報を導き出すことができるのか、インターネットの匿名性を検証してみることにしましょう。

■Webサイトへのアクセスから、個人情報を特定するまでの道のり

　Webブラウザを使って掲示板などのWebサイトにアクセスした場合、いったいどういう痕跡が残るのでしょうか。Webサイト側に記録される主な情報を見てみましょう。

・あなたのパソコンのIPアドレス
　インターネットに接続する際に、必要なネットワーク上の識別情報。同じIPアドレスを持つ端末は、同時にインターネット上に存在することはできない。

・ホスト名、ドメイン名
　パソコンなどの端末に付けられる名前。IPアドレスにひも付けられており、主に接続を提供しているプロバイダ名や企業名になっている。

・使用しているブラウザの種類
　「User-Agent」という情報として、ブラウザの種類を知ることができる（例：Internet Explorer 7 の場合 User-Agentは、「User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)」）。

・アクセスした日時
　サーバーの時計に基づいて、当該のアクセスがあった日時が分かる。

・クッキー（Cookie）
　Webサイトに訪れる利用者側のブラウザに、情報を記録するCookie という仕組みを使うことで、以前にアクセスした日時や、アクセス回数などを、サーバー側で判別することができる。

　あなたがWebサイトにアクセスした際に記録されるこれらの情報だけでは、もちろん個人を特定することはできません。個人情報に結び付けるには、もう一つのステップが必要なのです。

　もう一つのステップとは、あなたのパソコンのIPアドレスを管理している事業者、つまり、あなたが使っているプロバイダから情報を得て、どの会員がそのアクセスを行ったのか、アクセスログを元に調査することです。

　つまり、掲示板などのWebサイトに記録された情報から、個人情報を引き出すためには、記録されたIPアドレスとアクセス日時をもとに、プロバイダから情報を提供してもらう必要があります。

■アクセスログは、誰にでも提供されるわけではない

　では、冒頭に上げたワンクリック詐欺は、どのような仕組みになっているのでしょうか。ワンクリック詐欺のWebサイトの運営者は、アクセスしてきた被害者の「接続元IPアドレス（あなたのIPアドレス）」を記録しています。このIPアドレスと、アクセスした日時を元に、契約者情報をプロバイダに照会すれば、IPアドレスから個人を特定することができます。

　しかし実際は、容易に契約者情報を照会することはできないようになっています。プロバイダは、裁判所の決定による法的拘束力がある開示請求などがない限り、契約者情報を提供することはありません。裁判を起こして開示請求するには、かなりの労力が必要であることから、詐欺業者がそういった手順を踏む可能性は、限りなく低いといえるでしょう。

　一方、掲示板に犯行予告が書き込まれ、警察が捜査を開始したというような場合は違ってきます。警察が、「捜査関係事項照会依頼書」という書類を発行し、プロバイダに開示請求を行う場合があるのです。この書類に法的拘束力はありませんが、こういったケースでは、多くの事業者が積極的に協力を行うようです。

　なぜなら、掲示板管理者やプロバイダ事業者には、「プロバイダ責任制限法（通称）」という法律があるからです。これは、誹謗中傷や、他人の権利を侵害する情報を書き込んだ発信者の住所・氏名・IPアドレスなどを、開示させる効力のあるものです。

※（参考）
プロバイダ責任制限法関連情報Webサイト
http://www.isplaw.jp/

　この法律によって開示請求できる発信者情報は、下記のとおりです。

1．発信者の氏名、または名称
2．発信者の住所
3．発信者の電子メールアドレス
4．発信者が侵害情報を流通させた際の当該発信者のIPアドレス
5．前項4のIPアドレスから、侵害情報が送信された年月日および時刻

　この「プロバイダ責任制限法」に則って、P2Pファイル共有ソフトを用いて著作権などの権利を侵害したユーザーや、名誉毀損に当たる書き込みを行ったユーザーの情報開示を認めた事例や判例もあります。

　つまり、他人の権利を侵害する行動をとった場合、警察などの捜査によって、個人を特定されてしまうと考えていいでしょう。このことから、インターネットの匿名性は幻想であるといえるのです。

■Winnyは匿名なのか

　匿名といえば、P2Pファイル共有ソフトのWinnyを思い浮かべる方も多いのではないでしょうか。Winnyの匿名性は、ここまで述べてきた、インターネットの匿名性とはまた違うものです。

　Winnyの匿名性の根拠は、Winnyが作るネットワークの仕組みにあります。Winnyは、誰がファイルを公開しているのかが分かりにくいことから、匿名化されたネットワークと考えられていますが、完全に匿名になっているわけではありません。

　Winnyを経由して流出したファイルを特定し、公開元のIPアドレスを極めて高い精度で特定するといったサービスを提供している企業もあるほどです。公開元のIPアドレスを知ることができれば、プロバイダに開示請求して、個人を特定することも可能になります。

■責任まで捨ててしまわないように

　ここまで述べたように、インターネットの匿名性は完全なものではありません。

　人を傷つけたり、誰かの権利を侵害するような内容を掲示板に書き込んだり、P2Pファイル共有ソフトを利用して、著作権を侵害するようなファイルを公開したりすると、警察などの捜査機関によって個人を特定されてしまいます。このとき、誰にも正体を知られない匿名、という幻想の白日夢から醒めることになるでしょう。

　本来、匿名性はプライバシーを保護することで、選挙での自由な投票を保証するといった素晴らしい特性を持っています。それが、インターネット上では、名前と一緒に社会的責任まで捨てて、他人への配慮を欠く無責任な言動を取るのは、社会人として恥ずべき行為です。

　インターネットの世界には、「相手に面と向かって言えないことなら、ネットでも言ってはいけない」という不文律があります。通常の社会生活と同様、インターネットでも日頃から責任ある言動を心がけましょう。

セキュリティめがねTOP
第9回　「覚えきれないほど、たくさんのパスワード、スッキリ安全管理術」へ
第11回　備えあれば憂いなし、個人版BCP（事業継続計画）を作ろうへ