caret 曰く、
読売新聞のサイバー護身術というコラムに10月5日付けで掲載された記事で、IT ジャーナリストの三上洋氏が国立国会図書館サーチ(NDL Search)の書誌詳細画面 URL に位置情報が含まれる問題を指摘した(読売新聞)。
これを受け、国立国会図書館は書誌詳細画面 URL の利用に関して注意を呼びかけるお知らせを発表し、翌10月6日にはスマートフォン等から位置情報を取得する機能を一時的に停止したとお知らせで発表している。
この問題を発見したのは IT コンサルタントで有限会社アモニータの茂田カツノリ氏。Facebook に書誌詳細画面 URL を公開したところ、URL クエリ パラメータに長い文字列が入っていることを発見し、調べたところ、現在地の緯度と経度だったので慌てて投稿を削除したという。
問題の URL クエリ パラメータは、"?lat=35.xxxxxxxx&lng=139.xxxxxxx" という文字列で表され、lat の値が緯度 (latitude)、lng の値が経度 (longitude) を示している。この URL クエリ パラメータが与えられるためには Web ブラウザによる現在の位置情報の送信を許可する必要がある。
国立国会図書館サーチ(NDL Search)には「所蔵館の近い順表示」という機能が存在しており、機能概要には
GPS機能を備えたスマートフォン等から位置情報を送信していただくと、詳細画面の「見る・借りる」に表示される所蔵館の一覧が、現在地から近い順に表示されます。
とある。端末の位置情報を利用するのは同機能のためだ。
HASHコンサルティング株式会社代表取締役の徳丸浩氏はこれについて「URL に機密情報である利用者の位置情報が含まれるのは問題で、これは RFC 2616 15.1 Personal Information の規定に反した実装だ」と述べた。
さらに、国立国会図書館サーチ(NDL Search)は常時 SSL 化 (AOSSL) がなされておらず、同氏は「暗号化されていない HTTP 接続で位置情報を取得することも問題で、外部サイトへのリンクから URL がリファラとして伝わり、外部サイト側が位置情報を取得できてしまう。早急にシステムを改修すべきだ」と指摘している。
三上洋氏によると、iOS 10 以降の Safari や、Android 版 Google Chrome では HTTP 接続での位置情報の取得がデフォルトで拒否されているため、この問題の影響を受けないという。
国立国会図書館 総務部総務課広報係の担当者は「位置情報が URL に含まれている問題は把握しているが、現時点ではシステム改修の予定はない」とコメントしている。前述の通り、この機能は一時停止されたため、本タレコミ執筆時点では書誌詳細画面 URL に位置情報を示す URL クエリ パラメータが与えられることはない。