Katsunori Tanaka's Blog

独立行政法人情報処理推進機構（IPA）セキュリティセンターによる2009年12月3日付の注意喚起ワンクリック不正請求に関する相談急増！ パソコン利用者にとっての対策は、まずは手口を知ることから！に対して，改訂を求める要望書 (PDF) を送付した．

書いてあるとおりの内容であるが，先だっておこなった電子メールによる要望への回答は支離滅裂なものだった．

• 法的な側面には立ち入らないと言いながら実際には立ち入っている
• 経済産業省の特商法ガイドラインのことを「判決」「判例」と認識している
• ここでの要望事項「できるだけ記録を残す」については，「ご意見はありがたく頂戴します。」としながら「違法か合法かの判断や取り締まりは消費者庁や警察機関にお任せしています。」と責任放棄している
• 「職務でこんな文章を書くのか？」というような蛇足付き

訴えられた悪質サイト側弁護人が書くのならともかく，独立行政法人のする仕事ではない．話にならないのでIPA宛ての郵便で要望書を送付したという次第．

この「注意喚起」は，消費者庁 (PDF) や独立行政法人国民生活センター (PDF) からも参照されており，事後の対処法「システムの復元」に関する情報として紹介されているが，より深刻な障害に陥る場合があり得るという指摘もある．

ともかく，法の網の目をかいくぐる巧妙な手口を使っても，悪質なものは悪質なのである．

2009年12月29日追記
昨日付で回答が届いた．詳細は後日としたいが，
a) このような経済産業省の施策も知らないのだろうか．検討の方向が時代に逆行している．
b) 結論が出る前の段階で「クリックした本人の責任を問われる可能性があります」と独立行政法人の文書に書かれていたら不安を増長すると指摘しているのに，結論が出ていないから改訂は考えていないというのは不可解である．マルウェア対策に徹して，責任を云々しなければすむ話なのに．
c) 国民生活センターはトラブルメール箱というものを用意しているが，直接の回答はしていない．地域の消費生活センターなどに技術情報を提供するようなことは考えないのだろうか．
慇懃無礼と指摘した文言はこれだが，

貴方はワンクリック請求の実際のサイトについて、どこまで理解している
のでしょうか。サイトを見たことがありますか？
利用規約など読んだことがありますか？
もし、見たことがないのであれば、ワンクリック請求サイトのURL一覧を
差し上げる用意があります。
自分で見るのがイヤな場合は、当機構まで来ていただければ、実際に
サイトを閲覧するデモをご覧に入れる準備は、いつでも整っております。
遠慮なく、お申し付けください。お待ちしております。

誠意ある対応だろうか．常識的に考えて，独立行政法人の職員が職務でこんな文章を書いては問題ありだと思う．

以下，回答全文である．

Received: from IPA-VW.ipa.go.jp (ipa-vw.ipa.go.jp [192.218.88.227])
by ipa-ns2.ipa.go.jp (Postfix) with ESMTP id 5346544C0F1
for ; Mon, 28 Dec 2009 18:08:25 +0900 (JST)
X-TM-IMSS-Message-ID:
Received: from [127.0.0.1] (dhcp002236.adm.ipa.go.jp [172.16.2.236])
by ipa-mail.ipa.go.jp (Postfix) with ESMTP id 0AFBAE1B4;
Mon, 28 Dec 2009 18:08:25 +0900 (JST)
Message-ID: <4B387588.5050803@ipa.go.jp>
Date: Mon, 28 Dec 2009 18:08:24 +0900
From: ISEC-INFO
Reply-To: isec-info@ipa.go.jp
Organization: IPA/ISEC
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
To: tanaka@computer.org
CC: isec-info@ipa.go.jp
Subject: セキュリティセンター2009年12月3日付更新の注意喚起に対する,改訂の要望について

田中 克範　様

　独立行政法人 情報処理推進機構 セキュリティセンターです。
　先日貴殿より文書にてご要望いただきました主題の件につきまして、
以下に回答させていただきます。

a) 改訂を要望する箇所：
「最近の「ワンクリック不正請求」を行うウェブサイトでは、違法箇
所を見つけることが困難な場合も多く、必ずしも不正であるとは言い
切れず、クリックした本人の責任を問われかねません。」という記述
のうち，「必ずしも不正であるとは言い切れず、クリックした本人の
責任を問われかねません」の部分．

改訂を要望する理由：
タイトルに「不正請求」と書かれているにもかかわらず，「不正であ
るとは言い切れず」や「不正であるかの判断が難しく」との表現は矛
盾しており，この注意喚起を参照したインターネット利用者や，消費
生活センターの相談員に混乱をまねくおそれがあります．

【回答】「必ずしも不正であるとは言い切れず、クリックした本人の
責任を問われかねません。」という表現については、「不正ではない」
と断言している訳ではないので、矛盾しているとは考えておりません。
しかしながら、他機関からの情報発信をみても、「不正請求」という
表現を使っている例は少ないので、今回の注意喚起文書を含め、今後
「不正請求」という表現を使わない方向で検討を行いたいと考えます。

b) 改訂を要望する箇所：
「「はい」ボタンをクリックして先に進むことは、「利用規約」に同
意するという意思表示をしたことになってしまいます。このようなウ
ェブサイトは、不正であるかの判断が難しく、クリックした本人の責
任を問われる可能性があります。」のうち，「クリックした本人の責
任を問われる可能性があります」の部分．

改訂を要望する理由：
振り込め詐欺の手口が巧妙化しているのと同様に，このような不正請
求の手口も巧妙化しているのであって，悪質性や反社会性が減じてい
るわけではありません．「クリックした本人の責任」を貴機構の名の
もとに半ば認めるような表現は，インターネット利用者の不安を増長
し，また判例の蓄積が十分とはいえない状況のもとでの民事訴訟によ
る権利回復へのさまたげとなりかねません．

【回答】被害者本人の責任の有無につきましては、結論がでていない
と考えておりますので、「可能性があります」と記述しています。
よって、改訂は考えておりません。

c) 改訂を要望する箇所：
独立行政法人国民生活センターの「あわてないで!! クリックしただ
けで、いきなり料金請求する手口」
（http://www.kokusen.go.jp/soudan_now/click.html）に記載されて
いる事項のうち，貴機構の注意喚起には記載されていない点として
「できるだけ記録を残す」ことについて追加記述を要望します．

改訂を要望する理由：
「できるだけ記録を残す」というのは，民事においても刑事において
も被害の状況を示す訴訟の証拠となり得るものであり，証拠がそろわ
ないために提訴，起訴が難しい事案が少なからず存在するものと考え
られます．この注意喚起は消費者庁においても，証拠を保全する技術
的方法について記載されていることが望ましいと考えます．

【回答】当機構の注意喚起は、「ウイルスに感染しないように注意し
てください」という趣旨でして、そのための予防策および復旧方法へ
と導いています。被害者の中には、契約に関して疑問や心配を抱えて
いる方も多いと思いますので、国民生活センターなどの相談窓口につ
いて追記する方向で検討させていただきます。

なお、当機構としては、誠意をもって対応しているつもりですが、
慇懃無礼と感じられたことについては遺憾に思います。

（シグネチャ略）

インターネット 歴史の一幕：JUNET の誕生（JPNIC ニュースレター No. 29，2005年3月）という記事で引用されている石田晴久の言葉である．

同氏はこの3月に亡くなられた．情報処理学会の機関誌「情報処理」7月号（Vol. 50, No. 7）で「『あの時代』に想いをはせて―証言者達からのメッセージ」という小特集が組まれているが，次のような追悼記事からなっている．

編集にあたって （中川晋一・川合慧）
そこにはいつも，先生の本がありました―出版を通じてのご貢献― （小山透）
情報化時代の幕開け―みんながコンピュータに熱中した時代からのメッセージ― （青山幹雄）
「情報処理」大変革の夜明け前―石田編集長の誕生に向けて― （諏訪基）
INET91，ISOC，INTEROP，IAJ―石田晴久先生とともに （高橋徹）
石田先生から受け継いだもの （砂原秀樹・村井純）

私は同氏と面識もないが，名前を知ったのは大学生の頃で，ブライアン・カーニハンとデニス・リッチーの著書の日本語訳『プログラミング言語 C』を読んだことによる．カーニハンとリッチーの頭文字から K&R と呼ばれる有名な本であるが，前にも書いたように最初は原書を読み，手元に置いてプログラミングをしたいと思い訳書を大学生協で購入した．Cに精通している訳者だけあって読みやすかった．同氏の著作や翻訳はたくさんあるが，専門書であっても読者を惹きつける魅力があった．

ところで，このエントリのタイトル「村井君。3つ以上つながってはじめてネットワークと言うのだよ」という JUNET に関する同氏の発言について，小特集の最後の記事「石田先生から受け継いだもの」にその真意が書かれている（ｐ．658）．

村井はJUNETにいろんな組織を参加させようと奔走していたのであるが，「東京大学がやっていないものは研究じゃないでしょ．そんな実験には参加できないよ」と言われて困っていたのだそうである．そんな話を聞きつけた石田先生が，「じゃあ村井君，東大をつなごう」とおっしゃられたのである．

このあたりの事情は，村井純『インターネット「宣言」―急膨張する超モンスターネットワーク』（講談社，1995）にも書かれているが，慶應と東工大の間を接続したところに東大も接続して JUNET が成立したというわけである．同書には初期の JUNET が電気通信事業法のうえで合法的なものかどうか郵政省から明確な回答が得られていなかったとも書かれているのだが，石田氏はそういった実験にも積極的に協力する人物であった．

ここで今になってお悔やみの言葉を述べても意味はないだろうが，同氏の著作は優れているので読んだことのない人にはおすすめしたい．

キーマンズネット・SHOOTIの IT 単語帳 ARPAnet の項目について、ツッコミを入れておく。

まず、「各地に分散したUNIXコンピュータ同士をTCP/IPで相互接続する」という部分について。RFC 2235 日本語訳の年表、1969年のところを見ると、ARPANETの最初のノードが記されているが、ここに接続されているコンピュータのOSはいずれもUNIXではない。というかUNIXは A Brief History of Hackerdom に書かれているように1969年に一応完成したもので、ARPANETのはじまりには間に合っていない。また、ARPANETでTCP/IPが使われるようになったのは1983年1月1日からのことである。TCP/IPに関する研究の成果が最初に発表されたのは1974年のIEEE Transactions on Communications Systems 誌上の論文で、標準として選ばれたのは1982年。したがって、ここは「各地に分散したコンピュータ同士を相互接続する」と訂正したい。

それから、「当時主流だった中央集中型ではなく分散型を選んだのは、核攻撃を受けても全体が停止することの無いコンピュータシステムを作るためだったといわれている」という部分については、俗説であると指摘されている。喜多千草, モバイルコンピューティングの技術史──「パケット無線」をキーワードに, Mobile Society Review 未来心理, No. 7, 2006, pp. 45-46. [PDF] などを参照。

追記 (June 24, 2009)
森石峰一による森石流！“たとえ”でわかる最新ネットワーク用語集におけるARPAnetの項目について。

これにはARPAnet の歴史的背景についての別の見解という別記事項があり、「インターネットの前身は ARPAnet で、これはアメリカ国防総省高等研究計画局が、核戦争でも生き残る通信網の構築を目指して敷設したものだ。」という説明について「別の見解」（杉沼浩司, インターネットの前身、ARPANETは耐核戦争用ではなかった！, New Media, 2002年11月号）があることをとりあげている。私の意見はおそらく「別の見解」に近いのであるが、3つの論拠からこれに対する反論がなされている。

最初の論拠について。

ARPAnet はアメリカ国防総省高等研究計画局が中心となって開発された、国防上重要なコンピュータ・ネットワークであること。たとえば、ポール・バランが発表した「分散型通信システムについて」という論文は、発表当時、アメリカ軍により極秘扱いにされ、一般人は閲覧することができませんでした。このことからも、 ARPAnet の重要性が分かります。

ポール・バランの論文は極秘でもなんでもなく、ソ連側からも閲覧可能だった（しかしあまり関心をもたれなかった）とポール・バラン自身が述べている。
参考文献 ポール・バラン (インタビュー) 聞き手: 藤原洋, パケット・スイッチングの発明者 ポール・バラン氏に聞く, オープンネットワーク, Vol. 2, No. 2, 1997, pp. 49-54.

二つ目、「異なる見解」が Vint Cerf 本人から得た回答にもとづくものであることに対して、次のような議論。

国防上重要なものであればなおさら目的を明かさずに進める可能性があります。したがって、これは推測ですが、TCP/IP を開発した１人であるビント・サーフ博士（当時 UCLA の大学院生）でも、アメリカ国防総省高等研究計画局内の ARPAnet について決裁権を持っている人の目的は、伝えられていないのではないかということです。

「これは推測です」ということなので、論拠にはならないと思われる。あえていえば、ARPAの研究部門 Information Processing Techniques Office (IPTO) の責任者であった J. C. R. Licklider　らに関する詳細な調査にもとづいた著作（インターネットの思想史、草土社、2003、これは京都大学の博士論文の前半部分がベースとなっている）のある喜多千草も、ARPANET が軍事目的のネットワークであったということについては「俗説」と、否定的である（前掲のPDF）。

三つ目、ARPANETに関する海外のウェブサイトに「核攻撃」という言葉がいくつか見られるというもの。杉沼浩司が「この説明は日本だけのもの」としていることを意識しているものであろう。

ARPAnet の記述内に、核攻撃という言葉を見ることができます。これは、アメリカ国内でも ARPAnet が耐核戦争用に開発されたコンピュータ・ネットワークであることが認められていることのひとつの表れでしょう。

英文でも ARPANET について、核攻撃や核戦争との研究の関連についての記述ならばいくらでもある。ペンシルヴァニア大学のPh.D.論文をもとにした単行本を紹介しておく。
Janet Abbate, Inventing the Internet, MIT Press, 2000. (邦訳) 大森義行, 吉田晴代 (共訳), インターネットをつくる──柔らかな技術の社会史, 北海道大学図書刊行会, 2002.
この本で、特に1章「白熱と冷戦: パケット交換の起源と意義」では冷戦下でのパケット交換に関する研究について述べられているが、ARPANET が核戦争に耐えるためのネットワークであったという記述はない。

以上のとおり、件の用語集にある記述は想像の域を出ないものと考えられる。

Robert H. Zakon　による Hobbes’ Internet Timeline を見たら、RFC 2235 (FYI 32) の日本語訳として Internet Archive のファイルにリンクされていた。私のサイトでディレクトリ構成を変更したときにロケーション不明となったのだと思う。

そこで、現在のロケーションと、ついでに PDF 版の所在をを知らせた。PDF 版はテキスト版を歌代和正の a2ps 1.45 で PostScript に変換して、Adobe Distiller で PDF にしたものである（元ファイルの名前が stdin になっているが、これは標準入力の意味）。

Hobbes’ Internet Timeline と RFC 2235 (FYI 32) は、いずれも1957年のスプートニクの打ち上げから始まっている。1960年代についてはいくらかの改訂がなされている。

1997年に確定されたRFC/FYI 版では、1960年代前半について次のように記述されている。

1962
Paul Baran, RAND: “On Distributed Communications Networks”
- Packet-switching (PS) networks; no single outage point

1965
ARPA sponsors study on “cooperative network of time-sharing
computers”
- TX-2 at MIT Lincoln Lab and Q-32 at System Development
Corporation (Santa Monica, CA) are directly linked (without
packet switches)

改訂されたものは次のように修正と追加がおこなわれている。

1961
Leonard Kleinrock, MIT: “Information Flow in Large Communication Nets” (May 31)
* First paper on packet-switching (PS) theory

1962
J.C.R. Licklider & W. Clark, MIT: “On-Line Man Computer Communication” (August)
* Galactic Network concept encompassing distributed social interactions

1964
Paul Baran, RAND: “On Distributed Communications Networks”
* Packet-switching networks; no single outage point

1965
ARPA sponsors study on “cooperative network of time-sharing computers”
* TX-2 at MIT Lincoln Lab and AN/FSQ-32 at System Development Corporation (Santa Monica, CA) are directly linked (without packet switches) via a dedicated 1200bps phone line; Digital Equipment Corporation (DEC) computer at ARPA later added to form “The Experimental Network”

これは2006年まで更新されているが、その後は追跡していないようにも見える。私のインターネットの歴史というページもしばらく更新していない。文献は増えるばかりである。

追記 (June 16, 2009)
この年表で、Paul Baran の “On Distributed Communications Networks” が1962年から1964年に変更されていることについて。
この報告書は1964年に発行されているので、1962年としていた RFC/FYI の記述から妥当な訂正がなされたともいえる。しかし Baran がこの研究に着手して、最初の報告書 On Distributed Communications Networks を書いたのは1962年のことであり、RFC/FYI 版の記述が誤りというわけではない。