パスワードを忘れた? アカウント作成
5961354 story
検閲

すべてのWeb閲覧を平文で送信するTポイントツールバーの危険性 107

ストーリー by hylom
日本ではTポイントツールバーがあなたを見張る 部門より

CCCが「Web検索をするとTポイントが溜まる」という「Tポイントツールバー」なるものを公開している。このツールバーで検索を行うと「スタンプ」が溜まり、スタンプ2個で1ポイントのTポイントが付与される、というものだ。このツールバー、一見検索キーワードのみをCCC側が取得するようにも見えるが、実際のところはWeb閲覧履歴すべてをCCC側に送信しているらしい。このことは利用規約にも書かれているのだが、情報の送信には平文(HTTP)が使われており、比較的容易に通信を傍受できてしまうことが明らかになった。hauncon 曰く、

利用者のWeb閲覧履歴を取得する利用規約で微妙な意味で話題になっているTポイントツールバーであるが、徳丸浩氏の日記によれば、このツールバーはHTTPSを含むWeb閲覧履歴を全て平文(HTTP)で送信しているということである。

さらにTポイントツールバーのPOSTデータには、固有の利用番号が付いている可能性が高いことから、HTTPS通信であっても特定ユーザの挙動把握が容易になるというセキュリティ上の問題があるようだ。

わずかなポイントのためにWeb閲覧履歴を全て渡し、さらにセキュリティ上のリスクを抱えるというのは、許容できる人は存在するのだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 固有の利用番号 (スコア:5, すばらしい洞察)

    by chuukai (18189) on 2012年08月10日 19時28分 (#2210058) 日記

    >さらにTポイントツールバーのPOSTデータには、固有の利用番号が付いている可能性が高い

    Tポイントツールバー利用規約 [tsite.jp]の「第6条(履歴の収集)3.」には

    本ツールバーには固有の利用番号が登録されています。当該利用番号は、本ツールバーが機能するために必要な情報であり、無効化あるいは削除することはできません。

    と書いてあるのだから、その固有の利用番号そのものか、利用番号から生成された情報がTポイントサイトに伝わっていることは確実です。だから「可能性が高い」なんて推測の表現は不要だろうと思います。

    以下は私個人の意見です。

    CCC以外の第三者が固有の利用番号を含むPOSTデータをスニッフィングした場合、非常に高い蓋然性で特定のT-IDを持った特定の個人に関する情報を得られることになります(法人の場合を除く)。
    そうすると、固有の利用番号は実は個人情報と考えても良いかもしれません。
    これに対する反論として、固有の利用番号自体は記号の羅列であり、第三者により特定の個人を識別できる情報ではないので、個人情報保護法でいう個人情報には当たらないといわれるかもしれません。しかし、固有の利用番号と個人との対応表を持つCCCから見れば個人を識別できる情報であって、CCCは個人情報として扱わなければならないと第三者が言うことは可能です。その意味では、それは個人情報だと、個人情報という定義を規範的に考えて広く考えることもできるのではないかと私は考えています。

  • by Anonymous Coward on 2012年08月10日 20時44分 (#2210105)

    Baidu IME のクラウド入力の仕様がひどすぎる件

    http://blog.livedoor.jp/blackwingcat/archives/1592733.html [livedoor.jp]

  • by KentaHayashi (40880) on 2012年08月11日 1時27分 (#2210260)

    CCCって
    CyberConnect Corporation [wikipedia.org]の略かと思ってしまった。

  • 当然 (スコア:0, 興味深い)

    by Anonymous Coward on 2012年08月10日 18時18分 (#2209992)

    > 許容できる人は存在するのだろうか?

    この会社の社長さんやその家族、従業員やその家族は、許容できるんじゃないかな、
    ですよね、社長。

    趣味や思想を赤裸々に晒せば、もっと気楽に手軽に「本や映画や音楽」が楽しめるはず
    まさに「創業理念」通りですもの。

    さすが、自分たちは決して使わないサービスを主力商品しているような企業とはちがう。

    • by Anonymous Coward

      >この会社の社長さんやその家族、従業員やその家族は、許容できるんじゃないかな、

      インタビューしようよ。

  • by Anonymous Coward on 2012年08月10日 18時21分 (#2209997)

    CCCと聞いてサイバークリーンセンター
    https://www.ccc.go.jp/ [ccc.go.jp]
    だと思った。

    カルチュア・コンビニエンス・クラブ(株) (Culture Convenience Club Co., Ltd.)
    は初めて聞いた。

  • by Anonymous Coward on 2012年08月10日 18時23分 (#2209999)

    >Web検索をするとTポイントが溜まる

    では、さっそく、wikipediaの項目を自動的につっこむbotを夏休みの工作にしなければ。

    • Re:ほほう (スコア:5, 参考になる)

      by Anonymous Coward on 2012年08月10日 18時33分 (#2210006)

      利用規約:https://tsite.jp/pc/r/kiyaku/toolbar/index.pl
      >3.利用者は、当社からTポイントの付与を受けることを目的として以下の事項を行ってはならないものとします。
      >(1) 本ツールバーの検索窓を空白にした状態で、検索を実施すること。
      >(2) 本ツールバーにおいて、同一の検索キーワードによる検索を複数回行うこと。
      >(3) 本ツールバーにおいて、明らかに意味をなさない言葉、文字、文字列による検索を行うこと。
      >(4) プログラム等を利用して、本ツールバーにおいて自動的に検索機能を使用させること。
      >(5) Internet Explorer 7・8・9の動作環境以外で本件ツールバーを利用し、または本件ツールバーを利用せずに検索結果ページを表示させること。
      >(6) 当社が不正と判断する手段を用いてポイントを取得しようとすること。
      >(7) 本ツールバーをダウンロードした利用者端末を当該利用者以外の第三者に利用させること。
      >(8) その他、当社が不適切と判断する行為を行うこと。

      4にひっかかりますね。
      しかしすごい利用規約だ

      親コメント
      • Re:ほほう (スコア:3, 興味深い)

        by Anonymous Coward on 2012年08月10日 18時43分 (#2210017)

        情報ぶっこぬくだけぶっこぬいて全部(6)・(8)でポイント付与却下。とか。

        親コメント
      • by kieru_haim (37792) on 2012年08月11日 10時20分 (#2210362) 日記
        もう >(8) その他、当社が不適切と判断する行為を行うこと。 ここに全てが凝縮されてますね。
        親コメント
      • by Anonymous Coward on 2012年08月10日 19時22分 (#2210052)

        (1)の意味がわからん。空白で検索されるとなんか問題おきるの?

        (2)はもっと意味不明。複数回検索するのは興味の持続性という点で評価すべきなのでは。

        (3)は検索内容の汚染除けかな?

        親コメント
      • >(5) Internet Explorer 7・8・9の動作環境以外で本件ツールバーを利用し、または本件ツールバーを利用せずに検索結果ページを表示させること。

        うっかりIE789以外のブラウザにツールバーを入れてしまったら、
        そのブラウザでは二度と検索することはできないってことなんですかね。

        #入れられるのかどうかも知りませんが

        親コメント
      • by Anonymous Coward on 2012年08月10日 23時55分 (#2210221)

        >3.利用者は、当社からTポイントの付与を受けることを目的として以下の事項を行ってはならないものとします。
        ポイントなんていらね!って人はやりたい放題ってことですねw

        やりたいだけやった後にfirefoxでも使って一度検索をして、その後CCCに
        利用規約破ったので責任とってTカードの利用もやめます!!
        とでも電話すればみんなハッピーになれそうでいいじゃないですか!

        親コメント
      • by Anonymous Coward

        「ポイント付加を受けることを目的として」だとダメだけど、
        例えば「嗜好追跡をジャミングするため」ならこの規約には違反しないです。

        何か言われても、

        「月15ポイント(=15円)のためにわざわざこんなことしない!」

        と主張しておけばきっと大丈夫。

    • Re:ほほう (スコア:2, 興味深い)

      by Anonymous Coward on 2012年08月10日 18時29分 (#2210003)

      でも月15ポイントMAXですよ。
      年間180ポイント。1ポイント1円なので年間180円。

      親コメント
      • by Anonymous Coward

        この会社のことが好きな首長がいる、どっかの地方自治体が
        使ってるPCとか、その図書館のPCとかに入れておけば、
        色々な意味で面白いと思ったが、年間180円だと、インストール
        する手間賃にもならないじゃない。

    • by Anonymous Coward

      http://searchranking.yahoo.co.jp/burst_ranking/ [yahoo.co.jp]
      こういうリストのほうがいいと思う。毎日違うし、内容量もお手頃で、XMLで処理しやすい。

  • by Anonymous Coward on 2012年08月10日 18時39分 (#2210015)

    企画した人・企画を承認した人は、
    自分が会社でIE使っているからIE用のツールバーを作ればウケると思ったのだろうか。
    ターゲットになっているのは、どちらかというと自分であまり積極的に情報を集めないような情報弱者層だよね。
    その人たちに使ってもらう情報検索ユーティリティのセキュリティが脆弱というのも、
    なんかいろいろとどうしようもない感じがする。

    • by Anonymous Coward on 2012年08月10日 20時17分 (#2210093)

      ツールバーを入れる時点で情報弱者だとおもふ。

      しかし、そんなにTポイントカードって使い勝手いいのかね。俺はもってないんだが、今TUTAYA以外でも使えるよね。

      #ローソンパスはあって、PONTAへの乗り換えも考えてるんだ。
      #しかしWifi件とかあってどうしようかと。

      親コメント
    • by Anonymous Coward

      ターゲットになっているのは、どちらかというと自分であまり積極的に情報を集めないような情報弱者層だよね。

      その想定からすれば、IEのみというのは正しいのでは?

    • by Anonymous Coward

      それってIE以外にブラウザが存在することを認識してないと出来ない判断なんだぜ?
      結構優秀な企画担当じゃね?

  • by Anonymous Coward on 2012年08月10日 18時49分 (#2210023)
    ブラウザベースで動く業務アプリも少なくない中、Tポイント提携店の端末がそのザルザルな仕様に準じたアプリだったりすると、もはやTカードと縁を切るしかなかったり。
  • by Anonymous Coward on 2012年08月10日 19時16分 (#2210049)

    > ポイントが溜まる

    貯まるじゃなくて溜まるか、言い得て妙だ。

  • あれとかこれとか。Tポイントカードなんてクレカだしな・・・。

    スタンプカードにしてくれ。
    そういうコンビニなら優先して入るわ。

  • by Anonymous Coward on 2012年08月10日 19時45分 (#2210069)

    PageRankを見るためだけにWeb閲覧履歴を差し出しでいた人がどれくらいいるのかは存じ上げませんが、それと何が違うのでしょうか。
    平文かそうでないかの違いかな?
    あと、各社のブラウザに搭載されているフィッシング対策機能も閲覧履歴を送信しています。

    • by Anonymous Coward on 2012年08月10日 21時14分 (#2210123)

      Google Toolbarの場合は
      ・URLの?以降
      ・httpsでの接続はホスト名以外
      を送信しないなどプライバシーはともかくセキュリティには配慮した設計になっています。
      http://takagi-hiromitsu.jp/diary/20051127.html#p03 [takagi-hiromitsu.jp]
      http://d.hatena.ne.jp/mala/20100403/1270324870 [hatena.ne.jp]

      親コメント
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...