聯合ニュースと朝鮮日報などによると、韓国警察庁サイバーテロ対策センターが10日、Google韓国法人「グーグルコリア」を韓国の通信秘密保護法違反容疑で家宅捜索したそうだ。容疑は「ストリートビュー韓国版制作のため情報を収集する過程で、個人間の通信情報を無断で収集し」たことで、5月のストーリー「Googleのストリートビュー車両、暗号化されていない無線LANの通信内容を誤って収集」の件のようだ。午前10時から午後6時までかけてハードディスクや書類を押収したとのこと。

この事件を巡っては、6月、米国コネティカット州が捜査に着手すると発表した（朝日新聞6月22日の記事）ほか、7月には、オーストラリア政府のプライバシーコミッショナーがGoogleの行為を個人情報保護に関する法令に違反と判断、オーストラリア連邦警察も捜査を進め、欧州各国の当局も調査に乗り出していた（共同通信の7月9日の記事）。一方日本では何の動きもない。日本の電波法では、無線通信の傍受は（その存在や内容を漏らしたり、窃用しなければ）違法ではないし、個人情報保護法はこういう状況を想定していないようだ。

5月30日の朝日新聞一面トップに「ネット履歴丸ごと個人用広告に利用、サイト閲覧・検索…接続業者側が分析、総務省容認」という記事が出ている（asahi.comに掲載の記事）。これは、記事の図にあるように、インターネット接続プロバイダ(ISP)が、DPI（ディープ・パケット・インスペクション、深層パケット検閲）技術によって、ISP利用者のすべての通信を傍受し、利用者ごとの趣味や志向を把握して、それに応じた広告を配信するというもの。4月のストーリー行動ターゲッティング広告システム「Phorm」、ブラジルに進出と同様の方式と見られる。イギリスでの経緯についてはWikipediaのPhormの項目が詳しい。4月のストーリーでは、日本では通信の秘密が憲法でうたわれていることから、実施は無理ではないかと言われていたが、朝日新聞の記事によると、総務省の作業部会に参加した人の証言として、「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」のだという。

この作業部会というのは、先週5月26日に発表された「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言のことと思われる。パブコメ意見募集の結果が公表されているが、これによると、「DPI技術を活用した行動ターゲティング広告は、憲法に定める通信の秘密に違反するもの／プライバシーを侵害するものであり、導入に反対」といった意見が百数十件寄せられたというが、それに対する総務省の見解は、「運用に当たっての基準等を策定しこれを適用することを求めていましたが、ご指摘の趣旨を踏まえ、基準等において事業者が明確にすべき事項を提言(案)に追記する」というもので、けっきょく運用を促す結論になっている。また、インターネットユーザー協会(MIAU)が出した意見「DPI 技術を活用した行動ターゲティング広告については、推奨しないむね明記すべきである」に対しては、「行政機関の研究会として、個別のサービスについて、推奨しない旨の表明を行うことは適当でないと考えます」と回答、「プロバイダ企業が皆「同意」を求めれば、なし崩しに同意せざるを得なくなります」という意見には、「今後の参考意見として承ります」としてスルーしている。

一方、パブコメには事業者の意見として、NTTコミュニケーションズから「個人向けのサービスの申し込み形態として利用度が高い「オンライン・サインアップ」等も同意取得の有効な手段の例示として追記されると利用者にもわかりやすいと考えます」という意見が出ているが、これに対する総務省見解は、「それが個別かつ明確な同意取得の有効な手段といえるかどうかは、ケースバイケースであるため、例示として追記することは適当でない」とされており、必ずしも事業者の都合のいいように進んでいるわけではないようだ。朝日新聞の記事では、DPIの導入を検討しているプロバイダーとしてNECビッグローブの飯塚久夫社長のコメントが掲載されている。推進するのは、OCNとBIGLOBEということだろうか。

INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報が、Googleの検索結果としてキャッシュにコピーされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。

しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、

1. 「パスワード付きのＵＲＬが検索エンジンに拾われないようにするために気をつけてください」という注意喚起
2. metaタグ（noindex,nofollow,noarchive）の挿入とUser-Agentによるクローラの排除を導入した最新バージョンへのアップデートの呼びかけ
3. 「検索エンジンにインデックスされてしまったときの対処」

の3点であり、そんなのでは対策にならないという指摘がはてなブックマークで大量にコメントされている。開発元は、従前から「ショッピングカートCGI設置方法（Ｑ＆Ａ）」の「管理画面の呼び出し方法」として次の注意書きをしており、問題がいずれ起き得ることは認識していたことがうかがわれる。

管理画面を呼び出し、パスワードを入力すると、パスワードがアドレスバーに表示される場合があります。これはパスワードをCGIで受け渡ししているためです。それを表示したくないときはフレームを使うことをお勧めいたします。

その後、開発元からの呼びかけに、「現在、フォームの送信にGETを使うという脆弱性を改善すべく急いでおります。（中略）完成次第、お知らせいたします。」という追記がなされたが、はたしていったいどんな改良版が登場するのだろうか。

やや旧聞に属するが、今年の1月、NTT情報流通プラットフォーム研究所が、スイス連邦工科大学らと共同で、768ビット合成数に対する素因数分解に成功したとのニュースがあった（INTERNET Watchの記事）。この研究成果は、現在広く使われている1024ビットRSA公開鍵暗号が、今後いつごろ危殆化するのかを見積もる上で重要な指標になるという。最近では「暗号の2010年問題」と呼ばれ、Microsoftなどは「認証局は2010年末までに1024ビット鍵証明書の新規発行を終了しなければならない」という方針を打ち出しているそうだ（マイコミジャーナルの記事のベリサイン社の説明より）。

一方、2005年10月のストーリー「NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」」で話題となった、NTT西日本の「料金に関するお問い合わせ」のページからリンクされている「個人のお客様」のSSLサイトは、その後、VeriSignから発行された正規のサーバ証明書で運用されるようになっていたのだが、このページにOperaブラウザでアクセスすると、「暗号化レベル：弱」というこんな警告メッセージが出る。

このサイトは安全であるとはもはや分類されない古い暗号化方式を使用しています。重要な情報を保護するには不十分と言えます。このまま操作を続けますか？
証明書エラー：このサーバでは安全でないと見なされている短い公開鍵暗号鍵を使用しています。
公開鍵(512ビット)

なんと、512ビットRSA鍵のサーバ証明書で運用されている。この証明書は、2009年10月に発行されたものだが、最近でもVeriSign社が512ビットの鍵に対して証明書を発行していることに驚いた。512ビット合成数の素因数分解は、今日のコンピュータではどのくらいの時間で可能なのだろうか。

先月のストーリー「iTunes Storeでの不正請求問題、消費者庁が公開質問状を出す」の件に進展があった。朝日新聞の記事によると、前回、消費者庁が、被害の件数や金額などの実態について回答を求めたのに対し、アイチューンズ社は、「プライバシーの問題がありコメントを差し控える」として回答を拒否。その他、「個人情報保護の技術は世界的に見て業界最高水準だ」、「顧客満足度は業界最高水準だ」などと答えたとのこと。これに対し、消費者庁は再度の質問状(PDF)を送ったとしている。

9月30日付の情報処理学会プレスリリースで「Googleブック検索の提起した課題−その功罪−」と題した会長声明が発表された。声明は、「人類の知的資産である絶版の書籍を多大な労力を投入してディジタル化し、将来にわたって閲覧可能とするとともに世界に広くアクセス機会を提供しようとするGoogleの果敢な試みに対して敬意を表したい」としながらも、「今回の権利侵害は、前人未踏の領域でディジタル化の功を急ぐあまり計らずも犯した誤りではなく、いわばディジタル化の既成事実を積み上げ、著作権侵害という障壁を強引に突破しようとした意図的な手法だったと解さざるを得ない」と厳しく批判、「米国の法律上これが許されると仮定すれば、権利者は出版物を米国に持ち込むことを拒否することになりかねない」として、「文化の世界的な交流の促進という観点から、これは嘆かわしいこと」と懸念を示している。

9月3日のINTERNET Watchの記事によると、Googleブック検索で著作物を無断公開されたのが著作権法違反にあたるとして、日本の著作家と写真家が、Googleとグーグル日本法人を犯人として警視庁（練馬署と目白署）に刑事告訴した。告訴状は正式受理されていないそうだが、捜査は進められているとのこと。外国人記者クラブで行われた会見で、「著者に無断ですでに何百万冊もスキャンしているというのは、裏社会のやりかた。これは信用できない会社だという印象を持った」と語った。

一方、9月2日のITmediaの記事によると、日本の中小出版社49社が、Googleブック検索和解案から離脱した。出版流通対策協議会会長は、「和解案は日米の著作権法に違反した違法行為で、泥棒、海賊行為」、「和解参加は日本の出版産業の自殺行為」と述べた。絶版書籍のアーカイブ化については、Googleではなく国会図書館などの公共機関が行うべきという。また、時事通信の記事によると、日本写真著作権協会も抗議声明を出した。

日本以外でも批判の声は高まっており、ロイターの記事によると、ドイツでは政府（司法省商業・経済法監督庁）が「Googleブック検索の和解は違法」と指摘する文書を米国の裁判所に提出したそうだ。9月4日の読売新聞の記事は、米国ではAmazonとYahoo、Microsoftが参加する反対団体「Open Book Alliance」を結成したことを伝えている。

JANJANに「驚くべきシマンテック社架空請求の手口——ウイルス対策ソフト、更新されていないのに代金を請求」という記事が出ている。少し前に「SymantecとMcAfeeのサブスクリプション自動更新問題、罰金でNY州と和解」というストーリーがあったが、日本でも同様のトラブルが起きているようだ。記事によると、以前は店頭売りのパッケージ版を購入していた人が、去年からカード決済によるダウンロード版に切り替えたところ、デフォルトで自動更新になっていることに気付かず、アンインストールしたにもかかわらず、クレジットカードから自動的に料金を引き落とされたそうだ。シマンテックの説明によると、「期限が切れる３７日前にメールで自動延長についてお知らせが届き、15日前には延長完了のお知らせが届くことになっている」らしいのだが、この人はそのメールを受け取っていないとのこと。シマンテックのサポートセンターに交渉して、3か月後に返金の約束を取り付けたそうだが、対応は手慣れたもので、他にも沢山同様のトラブルが起きているのではないかと記事は指摘している。

5月28日のストーリー「GIGAZINE曰く「楽天は個人情報を1件10円で販売している」……」で問題とされていた件が、6月5日になって、読売新聞が報じるという展開になった。続いて共同通信、朝日新聞、毎日新聞、日本経済新聞、東京新聞なども報道した。読売新聞では、「楽天が出店企業に顧客情報を提供 1件10円で 05年の中止表明後も 」という見出しで、6月5日夕刊の1面トップ扱いだった。

読売新聞の報道に対し、楽天は即座にコメントを発表し、次のように新聞記者を名指しで非難した。

読売新聞社の東京本社社会部の河村武志記者には繰り返し、上述のようなご説明をさせて頂きましたが、このようなあたかも楽天が顧客情報を有料で販売しているかのような見出しをつけ、消費者の不安を煽るようなミスリーディングな記事を掲載されたことはまことに遺憾です。

それほど重大な問題だろうかという疑問も感じざるを得ないこの件なだけに、前回の騒ぎのときには、薬事法ネット規制がらみの既得権益側の楽天潰しではないかとの陰謀論を唱える人もいた。大手新聞社も報じ始めたことから益々陰謀論が渦巻きそうなところであるが、読売新聞は5月31日付で、薬事法のネット販売規制を批判する社説を掲載している点に注意したい。

Gigazineで既報の話題を一流の新聞社が「5日わかった」と報ずるのは、それなりに評判を落としかねないリスクがあるにもかかわらず、このように各社そろって報ずるのには、まだ表沙汰にされていないリーク情報が背景にあるのではないだろうか。今後の展開に目が離せない。

日経コミュニケーションの記事によると、NTTコミュニケーションズの「Arcstar IP-VPN」という企業向けIP-VPNサービスで、今年4月、サービスに加入した複数の企業のIP-VPNネットワークに、ワーム型ウイルス「WORM_NEERIS.A」の感染が広がったが、その感染経路が、NTTコミュニケーションズ内のLANを経由したものだったそうだ。

サービスを利用する各企業のIP-VPNは、当然ながら本来は独立した閉域ネットワークであるはずだが、「ルーター監視オプション・サービス」を利用した場合は、NTTコミュニケーション内に設置された監視用端末が加入各社のIP-VPNに接続され、その監視用端末がNTTコミュニケーション内でLANで接続されているのだという。しかも、そこにはファイアウォールはなく、監視用端末と各加入企業のIP-VPNネットワークは「すべてのパケットがやり取りできる状態になっていた」という。

加えて、NTTコミュニケーションズの監視用端末は、Windows Updateの適用を怠り、MS08-067の脆弱性パッチを適用していなかったという。MS08-067については、悪用ワームが世界中に広がっているとして、「日本でも感染報告：Windowsの脆弱性を悪用するワームが猛威」（2008年11月）、「MS08-067の悪用ワーム、世界で350万台強に感染」（2009年1月）といったニュースが出ていたところだった。

記事によると、加入企業の担当者からは「NTTコムの過失なのに，メール一本の指示だけでユーザーにウイルス・チェックさせるのはおかしい」という不満も噴出しているとのこと。一方、NTTコミュニケーションズの広報部は、ウイルスの侵入元について「ユーザー企業のIP-VPNから感染した可能性が最も高い」とコメントしている。