今までここの件は避けていましたが、ちょっと避けられない状況になってきたので、今後は多少積極的に触れていきます。
まずはこの件から。
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる / 徳丸浩の日記
これはどういうことかと言いますと。
カルチュア・コンビニエンス・クラブ株式会社(以下、CCC)が提供している「Tポイントツールバー」というアプリケーション、これはInternetExplorerにTポイント関連のツールバーを表示し、便利にTポイントを使ってもらおう、というアプリケーションです(危険なツールなのであえてリンクは張りません。興味のある方は検索して見付けて下さい)。
このツールバーをインストールした状態で訪問したサイトのURLが全てCCCに送られます。
つまり、あなたが例えばアダルトサイトを訪問したとします。そこで閲覧したサイトのURL、動画のURLの履歴が全部CCCへ送られます。
あなたがある特殊な病気に罹っていて、そのことを調べたとします。その時に検索したキーワード、閲覧したサイト、アクセス日時の全てがCCCへ送られます。
そして、これらを収集することは「利用規約」に記載されています。
非常に不本意ですが、ここまでは利用規約に記載されていることですので、今のところ仕方ありません。
さて、ここからが本題です。
例えば、あなたが会員制サイトにログインして、そこでいろいろなページを見て回ったとします。はたまた、銀行のオンラインバンクサービスにログインして、利用履歴などを閲覧したとします。
通常、こういうサービスの場合、URL含め、全てを「SSL暗号化通信」しています。つまり、他者がそのアクセス情報を取得したとしても分からないように「暗号化」を行って送信しています。
ところが、このツールバー、そういう暗号化して送信すべき情報(この場合、URLですが)ですら、暗号化せずにCCCへ送信しています。
そういう「デリケートな情報」をCCCが取得しているのは規約があるのである意味仕方ないのですが、本来暗号化されて送信されなければならない情報、これをCCCには暗号化せずに送っているわけですから、この情報を横から盗まれたら元々のサイトが暗号化しているのが全て無駄になります。
そして、上記、徳丸氏が指摘しているのは、これらURL内に埋め込まれている情報だけで、ネットバンクの取引明細PDFや他者に閲覧されてはいけない画像ファイル、サイトURLなどにアクセスできる可能性がある、ということです。
つまり、Tポイントツールバーをインストールしている時点で、ショッピングサイトやSNSが導入しているSSLが意味をなさなくなります。
Tポイントツールバーの問題点を要約すると(仕方ない、と書いたことまで含めて)
・利用規約には書いてあるが、TポイントツールバーがインストールされたIEで閲覧したサイト、検索したキーワードは全てCCCへ送信される。
しかもこれらはTカードIDを基準とした個人情報に紐付けされる。
・SSL通信を行っているサイトにアクセスした場合、SSL暗号化されずにURLの情報がCCCへ送信されるため、本来であればURL情報を取得できない第三者がURL情報を取得できるようになってしまう。
他にも問題が多いTカードとCCCの対応。
少しずつですが、まとめていきます。