聯合ニュースと朝鮮日報などによると、韓国警察庁サイバーテロ対策センターが10日、Google韓国法人「グーグルコリア」を韓国の通信秘密保護法違反容疑で家宅捜索したそうだ。容疑は「ストリートビュー韓国版制作のため情報を収集する過程で、個人間の通信情報を無断で収集し」たことで、5月のストーリー「Googleのストリートビュー車両、暗号化されていない無線LANの通信内容を誤って収集」の件のようだ。午前10時から午後6時までかけてハードディスクや書類を押収したとのこと。

この事件を巡っては、6月、米国コネティカット州が捜査に着手すると発表した（朝日新聞6月22日の記事）ほか、7月には、オーストラリア政府のプライバシーコミッショナーがGoogleの行為を個人情報保護に関する法令に違反と判断、オーストラリア連邦警察も捜査を進め、欧州各国の当局も調査に乗り出していた（共同通信の7月9日の記事）。一方日本では何の動きもない。日本の電波法では、無線通信の傍受は（その存在や内容を漏らしたり、窃用しなければ）違法ではないし、個人情報保護法はこういう状況を想定していないようだ。

5月30日の朝日新聞一面トップに「ネット履歴丸ごと個人用広告に利用、サイト閲覧・検索…接続業者側が分析、総務省容認」という記事が出ている（asahi.comに掲載の記事）。これは、記事の図にあるように、インターネット接続プロバイダ(ISP)が、DPI（ディープ・パケット・インスペクション、深層パケット検閲）技術によって、ISP利用者のすべての通信を傍受し、利用者ごとの趣味や志向を把握して、それに応じた広告を配信するというもの。4月のストーリー行動ターゲッティング広告システム「Phorm」、ブラジルに進出と同様の方式と見られる。イギリスでの経緯についてはWikipediaのPhormの項目が詳しい。4月のストーリーでは、日本では通信の秘密が憲法でうたわれていることから、実施は無理ではないかと言われていたが、朝日新聞の記事によると、総務省の作業部会に参加した人の証言として、「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」のだという。

この作業部会というのは、先週5月26日に発表された「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言のことと思われる。パブコメ意見募集の結果が公表されているが、これによると、「DPI技術を活用した行動ターゲティング広告は、憲法に定める通信の秘密に違反するもの／プライバシーを侵害するものであり、導入に反対」といった意見が百数十件寄せられたというが、それに対する総務省の見解は、「運用に当たっての基準等を策定しこれを適用することを求めていましたが、ご指摘の趣旨を踏まえ、基準等において事業者が明確にすべき事項を提言(案)に追記する」というもので、けっきょく運用を促す結論になっている。また、インターネットユーザー協会(MIAU)が出した意見「DPI 技術を活用した行動ターゲティング広告については、推奨しないむね明記すべきである」に対しては、「行政機関の研究会として、個別のサービスについて、推奨しない旨の表明を行うことは適当でないと考えます」と回答、「プロバイダ企業が皆「同意」を求めれば、なし崩しに同意せざるを得なくなります」という意見には、「今後の参考意見として承ります」としてスルーしている。

一方、パブコメには事業者の意見として、NTTコミュニケーションズから「個人向けのサービスの申し込み形態として利用度が高い「オンライン・サインアップ」等も同意取得の有効な手段の例示として追記されると利用者にもわかりやすいと考えます」という意見が出ているが、これに対する総務省見解は、「それが個別かつ明確な同意取得の有効な手段といえるかどうかは、ケースバイケースであるため、例示として追記することは適当でない」とされており、必ずしも事業者の都合のいいように進んでいるわけではないようだ。朝日新聞の記事では、DPIの導入を検討しているプロバイダーとしてNECビッグローブの飯塚久夫社長のコメントが掲載されている。推進するのは、OCNとBIGLOBEということだろうか。

INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報が、Googleの検索結果としてキャッシュにコピーされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。

しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、

1. 「パスワード付きのＵＲＬが検索エンジンに拾われないようにするために気をつけてください」という注意喚起
2. metaタグ（noindex,nofollow,noarchive）の挿入とUser-Agentによるクローラの排除を導入した最新バージョンへのアップデートの呼びかけ
3. 「検索エンジンにインデックスされてしまったときの対処」

の3点であり、そんなのでは対策にならないという指摘がはてなブックマークで大量にコメントされている。開発元は、従前から「ショッピングカートCGI設置方法（Ｑ＆Ａ）」の「管理画面の呼び出し方法」として次の注意書きをしており、問題がいずれ起き得ることは認識していたことがうかがわれる。

管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。

その後、開発元からの呼びかけに、「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。（中略）完成次第、お知らせいたします。」という追記がなされたが、はたしていったいどんな改良版が登場するのだろうか。

やや旧聞に属するが、今年の1月、NTT情報流通プラットフォーム研究所が、スイス連邦工科大学らと共同で、768ビット合成数に対する素因数分解に成功したとのニュースがあった（INTERNET Watchの記事）。この研究成果は、現在広く使われている1024ビットRSA公開鍵暗号が、今後いつごろ危殆化するのかを見積もる上で重要な指標になるという。最近では「暗号の2010年問題」と呼ばれ、Microsoftなどは「認証局は2010年末までに1024ビット鍵証明書の新規発行を終了しなければならない」という方針を打ち出しているそうだ（マイコミジャーナルの記事のベリサイン社の説明より）。

一方、2005年10月のストーリー「NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」で話題となった、NTT西日本の「料金に関するお問い合わせ」のページからリンクされている「個人のお客様」のSSLサイトは、その後、VeriSignから発行された正規のサーバ証明書で運用されるようになっていたのだが、このページにOperaブラウザでアクセスすると、「暗号化レベル：弱」というこんな警告メッセージが出る。

このサイトは安全であるとはもはや分類されない古い暗号化方式を使用しています。重要な情報を保護するには不十分と言えます。このまま操作を続けますか？
証明書エラー：このサーバでは安全でないと見なされている短い公開鍵暗号鍵を使用しています。
公開鍵(512ビット)

なんと、512ビットRSA鍵のサーバ証明書で運用されている。この証明書は、2009年10月に発行されたものだが、最近でもVeriSign社が512ビットの鍵に対して証明書を発行していることに驚いた。512ビット合成数の素因数分解は、今日のコンピュータではどのくらいの時間で可能なのだろうか。

先月のストーリー「iTunes Storeでの不正請求問題、消費者庁が公開質問状を出す」の件に進展があった。朝日新聞の記事によると、前回、消費者庁が、被害の件数や金額などの実態について回答を求めたのに対し、アイチューンズ社は、「プライバシーの問題がありコメントを差し控える」として回答を拒否。その他、「個人情報保護の技術は世界的に見て業界最高水準だ」、「顧客満足度は業界最高水準だ」などと答えたとのこと。これに対し、消費者庁は再度の質問状(PDF)を送ったとしている。

8月に、WPA/TKIPが1分で、場合によっては数秒から数十秒で破られるというニュース（マイコミの記事、GIGAZINEの記事）があって話題となりました（スラドのストーリー）が、これは誤報だったという指摘が出ています。産総研情報セキュリティ研究センターの「WPAの脆弱性の報告に関する分析」によると、今年8月にJWIS2009で発表された論文の手法は、去年にWPAが破られたと話題になったときの論文 "A Practical Message Falsification Attack on WPA"（セキュリティセミナー「PacSec 2008」でWPAが破られる）と同様に、破るには少なくとも11分は必要とするとのことで、アクセスポイントの鍵更新間隔を2分程度に設定することで対策できるとのこと（PacSec 2008の論文にもこの対策が挙げられていたとのこと）です。マイコミの記事で予告されていた広島大学での研究会発表を見てきたという、高木浩光＠自宅の日記は、「従来手法が、11分〜12分の改竄検知鍵復元時間 + 4分のパケット改竄時間であったところを、新手法は、後者の4分を1分以内（実験では平均で10秒程度）に短縮できるという話」だと解説しています。「1分で破られる」というのはまったく違ったようです。すっかり信じていた私としては、この手のニュースはあてにならないなあと痛感したしだいです。

2006年5月のストーリーに、「金子氏、「Winnyから情報漏えいを防ぐのは技術的に容易」と語る」というのがありました。また、2審の初公判後の会見でも、「一刻も早くやるべきことはやるべきと思っている。情報漏洩は私が開発を止めてから出てきた問題で、悔しく思っている」と金子氏は述べていました（2009年1月のストーリー）。このとき、改良ができないとされたのは、1審の有罪判決（1審判決全文）の理由が、「著作権を侵害する態様で広く利用されている現状を認容」しながら、Winnyの開発と公開を継続していたことが幇助犯を構成するとされていたためでしたが、先日の無罪判決（2審判決要旨）では、これが否定され、「違法行為をする人が出ることを認識しているだけでは足りず、それ以上にソフトを違法行為のみに使用させるように勧めて提供する場合にはほう助犯が成立する」とされました。この無罪判決が確定すれば、Winnyの欠点を改善する修正が晴れてできるようになると言えそうです。

このことについて、無罪判決後の会見で、さっそく記者から質問があったようで、金子氏や壇弁護士がそれに答えています。INTERNET Watchの記事によると、「改良版のWinnyを公開するか」という問いに対して、金子氏は「何がベストかを良く検討したい」と答え、壇弁護士は「少なくともバッファオーバーフローの脆弱性については対応したい」とコメントしたそうです。また、時事通信の記事によると、金子氏は、「『危険だ危険だ』というほうが危険。問題があれば取り除いていけばいい」としながらも、今後のWinnyの改良について「今のままでは何もしないほうがベストなのではとも思う」と述べたそうです。はたして、Winnyの欠点を修正するアップデートは出るのでしょうか。

9月30日付の情報処理学会プレスリリースで「Googleブック検索の提起した課題−その功罪−」と題した会長声明が発表された。声明は、「人類の知的資産である絶版の書籍を多大な労力を投入してディジタル化し、将来にわたって閲覧可能とするとともに世界に広くアクセス機会を提供しようとするGoogleの果敢な試みに対して敬意を表したい」としながらも、「今回の権利侵害は、前人未踏の領域でディジタル化の功を急ぐあまり計らずも犯した誤りではなく、いわばディジタル化の既成事実を積み上げ、著作権侵害という障壁を強引に突破しようとした意図的な手法だったと解さざるを得ない」と厳しく批判、「米国の法律上これが許されると仮定すれば、権利者は出版物を米国に持ち込むことを拒否することになりかねない」として、「文化の世界的な交流の促進という観点から、これは嘆かわしいこと」と懸念を示している。

9月3日のINTERNET Watchの記事によると、Googleブック検索で著作物を無断公開されたのが著作権法違反にあたるとして、日本の著作家と写真家が、Googleとグーグル日本法人を犯人として警視庁（練馬署と目白署）に刑事告訴した。告訴状は正式受理されていないそうだが、捜査は進められているとのこと。外国人記者クラブで行われた会見で、「著者に無断ですでに何百万冊もスキャンしているというのは、裏社会のやりかた。これは信用できない会社だという印象を持った」と語った。

一方、9月2日のITmediaの記事によると、日本の中小出版社49社が、Googleブック検索和解案から離脱した。出版流通対策協議会会長は、「和解案は日米の著作権法に違反した違法行為で、泥棒、海賊行為」、「和解参加は日本の出版産業の自殺行為」と述べた。絶版書籍のアーカイブ化については、Googleではなく国会図書館などの公共機関が行うべきという。また、時事通信の記事によると、日本写真著作権協会も抗議声明を出した。

日本以外でも批判の声は高まっており、ロイターの記事によると、ドイツでは政府（司法省商業・経済法監督庁）が「Googleブック検索の和解は違法」と指摘する文書を米国の裁判所に提出したそうだ。9月4日の読売新聞の記事は、米国ではAmazonとYahoo、Microsoftが参加する反対団体「Open Book Alliance」を結成したことを伝えている。