2011/09/23

日垣隆公式サイト ガッキィファイターの販売システムとセキュリティ

日垣隆氏の公式サイト http://www.gfighter.com/(注:2012年1月にgfighter.netに変更された)では、「電子書籍」をオンライン販売している。トップページ左側のカラムからそれらしきリンクをクリックすると、おなじみのショッピングカートシステムで「電子書籍」を購入することができる。適当な商品の能書きを表示してみると、次の注意事項が表示される。

クレジットカードで決済完了されると電子書籍(PDFファイル)をダウンロードできるURLをメールにてお知らせいたします。

これはそのままの意味である。決済が完了するとメールでURL文字列が送られてくる。そのURLにブラウザでアクセスすると、PDFファイルがダウンロードできる。URLはhttp://www.gfighter.com/images/(サブディレクトリ)/(書名).pdfであった。URLにアクセスしても認証プロセスはなく、ダウンロードしたPDFにもDRMなどのセキュリティはかけれられていなかった。

詳しい人ならばここで驚くだろう。そして次のような疑問を抱くはずだ。そのURLが推測されたら?URLが流出したら?PDFにセキュリティがかかっていないということはコピーされてしまうではないか?それらの行為に対してどのような法的問題を問うことができるか?それでユーザーの信頼を得られるか?

日垣氏は有料メールマガジンによる読者の囲い込みと、さらに年会費10万円のクレド会という組織を作っている。このクレド会員等に送るファイルも認証なしでWebサーバー上に置き、ファイルにもセキュリティはかけられていなかった。つまりURLさえ知っていれば、あるいはそれを見つければ、誰でも情報にアクセスすることができる状態にあった。

このような管理体制のシステム上で、次の問題が起きた。

  1. 有償である電子書籍(PDFファイル)のURLが流出していた(通称ダダ漏れ問題)
  2. 日垣氏が著作権を有しない、また権利者から配布を許諾されていない書籍をPDF化(電子化・自炊)し、誰でもダウンロードできる状態でWebサーバー上に配置していたことが明らかになった(通称他人の著作を自炊して公開問題)
  3. クレド会員限定勉強会の様子を収録した音声ファイルと、それを文字におこしたPDFファイルを後日会員に配布する予定でWebサーバーにアップロードしておいたが、クレド会員に告知する前にそれらのURLが流出した。そのファイルには(参加者に限らず)個人を特定できる情報と、写真が含まれていた(通称クレドPDF流出問題)

このテーマ(公式サイトセキュリティ問題)ではこれらの問題を扱っていきたい。なお、前述した疑問については、次のように考えている。

  • そのURLが推測されたら? URLが流出したら?
    URLは流出していた。また十分に推測可能であったと考えている。そしておそらく流出したURLからは故意にあるいは偶然にファイルはダウンロードされていただろう。
  • PDFにセキュリティがかかっていないということはコピーされてしまうではないか?
    その通りであるが、コピーされて配布されている様子は今のところ見つけられていない。
  • それらの行為に対してどのような法的問題を問うことができるか?
    ユーザーに対して不正アクセス行為を問うことができないため、少なくとも不正アクセス防止法を適用することはできない。電子計算機損壊等業務妨害罪を適用する可能性も考えられるが、法律が想定しているセキュリティレベルに達していないと推定されるため、その可能性は低い。
  • それでユーザーの信頼を得られるか?
    少なくとも私は個人として2度とこのサイトで商品を購入したくないと考えている。またこの問題に対して批判的な意見は見られるが、肯定的あるいは擁護する意見を見たことはない。

日垣氏はこの問題について2011年9月3日にfacebookの個人ウォールで次のようにコメントしている。

今朝は、私の公式サイトがハッカー被害にあい、有料コンテンツを
無料にして新たなリンクを貼る(これは窃盗罪です)などをされました。
メッセージでの
嫌がらせから、犯罪の領域に入ってきています。

ただし日垣氏の公式サイトではこの問題について今のところ一切言及されていない。つまり実際の顧客への説明はしていないということだ。また上記のコメントもここまで書いてきた事実と食い違っていることに気づくだろう。「有料コンテンツを無料にして」とはどういう意味か?「新たなリンク」とはどういう意味か?認証について触れないのは何故か?問題が起きた時点で問題のサイトはどのようなセキュリティを実装していたのか?

多少なりとも知識のあるユーザーであれば容易に推測できるであろうから、あえて詳述はしない。日垣氏の発言に注目していただきたい。

(『他人の著作を自炊して公開問題』に続く)