匿名だからといって他人をあおるな半径300メートルのIT

» 2014年03月03日 13時00分 公開
[宮田健,Business Media 誠]

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。


 筆者が、まだアイティメディアの社員だったころの話です。@ITというエンジニア向けWebサイトでセキュリティの担当者になったときに最初に行ったのは、それまでに公開されていた記事に目を通すことでした。今でも「不必要情報を出すことは脆弱性である(参照記事)」という考え方がとても心に残っています。

あなたの「不必要情報」は誰かの「必要情報」?

 セキュリティの世界における「不必要情報」とは何でしょうか。例えば、Webサービスに登録しようとしたときに、「そのメールアドレスはすでに登録されています」といったエラーメッセージが出たことはありませんか? あるいは、ログインしようとしたときに「パスワードが間違っています」と表示されたことは?

 もっと正確に言えば、ログインIDを間違えたときには「ログインIDが存在しません」と表示されるのに、パスワードを間違えたときには「パスワードが間違っています」と表示されるのであれば、それは大きな落とし穴になります。

 なぜなら、エラーメッセージが「そのIDは存在しているよ」とアピールしているから。IDが存在していると分かれば、パスワードは使い回されることが多いのですから、攻撃者はそれを前提とした攻撃を行います。

SNSは基本的に「不必要情報」だらけ?

 先日、ネット界でちょっとしたトラブルが起きました。2ちゃんねるのあるコミュニティを執拗(しつよう)にあおった人がいました。2ちゃんねるのユーザーが、その人の過去数年間のツイートを洗い出し、本名らしき文字列が写った1枚の画面キャプチャを発見し、そこから最終的には本人特定どころか自宅まで把握されたというものです。

 その是非までは本コラムで言及しませんが、ここでのポイントは自ら投稿した写真やスクリーンショットに、まったく意図しなかった情報が入っていたことです。この事件の顛末(てんまつ)を知ったときには、背筋が凍る思いでした――もしかしたら、「自分も意図せずに個人が特定できる情報を公開しているかも」と。

 残念ながら、不必要情報は世の中にあふれかえっています。そのほとんどが、悪意なく、そして自ら発信しているということを覚えておいたほうがよいでしょう。

Twitter

ネットに匿名性はないし、個人情報は自分が出していると思え

 ネットをよく知るものにとって、もう匿名性などないことは周知の事実です。悪いことをしてしまえば、誰かが調査し、本人特定に至ることは間違いありません(それをかいくぐるためのツールはいくらでもありますが、追跡を困難にするだけのものだと考えています)。これまではIPアドレスやプロバイダ情報など、ネットの仕組みから追いかけることしかイメージしていませんでしたが、いまや一番のヒントは「自らアップした情報」なのでしょう。

 「そこまで調べる暇人はいない」と筆者は思っていました。が、今回のように人の恨みを買ってしまうと、多くの“興味半分”な人的リソースが流れ込み、過去の情報を洗い出す、写真情報からストリートビューを使って場所を把握するという行動が起こり得ます。それこそ被写体の影の角度と、写真データの中にある時間情報から、撮影された方角まで特定するというところまで行われます。正直、ここまでやる人はそういないとは思いますが、事例としては知っておくべきでしょう。

 大前提として、やはりネットでは人をあおる、法を犯す、人を傷付けるような悪意ある投稿はしないことです。人が生きるうえでは、そのようなモラルのない行動こそ「不必要な情報」なのではないかと思っています。

Copyright © ITmedia, Inc. All Rights Reserved.