ケータイの契約者固有 ID

no extension

とりあえず, 自分用に覚え書き。

「日本のインターネットが終了する日」という大層なタイトルを冠した記事が公開されたが, どうやら docomo の「iモードID」やイー・モバイルの「EMnet」を起点にした話のようだ。

iモードID に関しては 「『iモードID』の提供開始について」 によると,

  • iモードをご利用のお客様の携帯電話番号毎に一つ付与されるiモード用のユニークなIDとなります。
  • iモード対応サイトにおいて、アクセス先URL内に予めiモードID用のパラメータを記述しておくことにより、お客様がサイトアクセスした際にiモードIDの通知が行われます。

とあり, これが契約者ごとの固定 ID であり, i-mode 内の公式サイト以外のいわゆる「勝手サイト」でも iモードID が利用できることを示している。 2番目の説明は分かりにくいかもしれないが, URL に特定の書式のパラメータを付加することにより i-mode センタ内で iモードID に変換され, 任意のサイトに送信されるということらしい。 例えば i-mode サイトを乗っ取ったり Phishing メールを送ったり, あるいは広告のリンクに iモードID 用のパラメータを埋め込むことで iモードID 収集サイトに誘導して集め放題というわけだ。 行動ターゲティング広告については既に取り組みが始まっている。

このことによる問題は2つある。

ひとつは, iモードID が契約者(=携帯電話番号)ごとに割り振られる値であるため, この ID をキーに個人情報を「名寄せ」される可能性である(「名寄せ」は Google を使ってもある程度できるらしい)。 もうひとつは, iモードID をキーにして契約者の行動を比較的簡単にトレースできることである。 PC 等で Cookie を使った行動のトレースは個別に Cookie を無効にすることによってある程度防ぐことが出来るが (最近のスパイウェア防止ソフトはこれらの Cookie を削除してくれる), iモードID をサイトごとに無効にする機能はない。 (iモードID の通知については, 「iメニューサイトはユーザID用のパラメータと両方記述することにより両方の通知が行われます」 とあるので, au の Subscriber ID のように公式のメニューまで使えなくなるといったバカなことは起こらないと思う。 私は docomo のユーザではないので確かめようがないけど)

契約者固有 ID への対策としては, もっとも確実なのは契約者固有 ID を無効にすることである。 au の Subscriber ID や EMnet のように, それが難しい場合は, 「日本のインターネットが終了する日」の勧告を守るべきであろう。 以下に引用しておく。

  • ケータイWebにおいては、絶対に住所氏名を入力しない。
    • 商品配送先として住所氏名の入力が必要となるネットショップは利用しない。(着メロ等のダウンロード購入のように、住所氏名を送信する必要のないショッピングしかしないようにする。)
    • どうしても物を買いたいときは、携帯電話会社が運営するショップを使う。(携帯電話会社は、ユーザIDを流用することはないので。)
  • ケータイWebにおいては、完全に匿名で使うことを覚悟するか、又は、常に非匿名であることを前提に行動する。
    • 匿名を選択する場合は、自分が誰であるかわかるようなことを、どのサイトでも明らかにしないようにする。
    • 非匿名を選択する場合は、自分が誰であるかはどのサイトでも知られ得ると覚悟して、それでもかまわない行動しかとらないようにする。

私は au ユーザで Subscriber ID の問題についても知っていたため, ケータイから Web へのアクセスは最小限に抑えている。 ただし私のケータイには「PC サイトビューアー」というモードがあり(中身は組み込み版 Opera), これを使えば Subscriber ID は送られないようである。 MIAU ではケータイ利用を中心に教育用の小冊子を作ってるみたいだけど, この辺の話はチェックしておくべきだと思う。

で, 問題は, 今になってこの仕組みが実装されたことに関する疑念と, そこから派生して, この仕組みがケータイ以外の日本のネット全体に組み込まれる可能性があるのか, 組み込まれるとしてどのような脅威がどの程度のリスクで顕れるかということだろうか。 セキュリティ専門家達がこの辺をどう評価するのかちょっと見ものである。

参考: