このページの本文へ
ここから本文です

“トリックURL”をクリック、あなたが誰だか筒抜けになる

2007年1月22日

(須藤 慎一=ライター)

Webサイトにアクセスしても、個人情報を明かさなければ、サイト運営者にはあなたが誰だか分からない──セキュリティの基礎としてよく見る記述である。ワンクリック詐欺のような、いきなり利用料金を請求する表示が出ても無視してかまわない、という説明が続くこともある。

こうした書き方が誤解を与えている。これは、ある条件が付く場合にだけ成立する話なのだが、前提条件の説明がどこかに行ってしまった。そのために「常に成立する」と思い込んでいる人が増えている。さらには、「どうせ誰だか分からないのだから、怪しいサイトであっても、どんどん情報を見てしまえ」という考え方の人まで増え出している。誤解は早急に正しておきたい。

結論を先に書くと、万人向けに公開しているURL(Webページのアドレス)を使ってサイトにアクセスしたときには、サイト運営者はあなたが誰だか把握できない。しかし、迷惑メールで届いたURLのように、直接、個人ごとに配布されたURLを使ってサイトにアクセスするときは警戒が必要だ。あなたが誰かを識別する情報を埋め込んだ“トリックURL”で、サイト運営者があなた個人を識別している危険性がある。

個人識別URLつきの迷惑メールが届いている

筆者に届いた迷惑メールを実例にして、迷惑メール業者や悪徳サイト運営業者が個人を識別する方法を説明しよう。以降は、こうしたURLを「個人識別URL」と呼ぶことにする。

届いた迷惑メールの本文に書いてあるURLに、自分のメールアドレスが組み込まれていることがある。

【実例1】の迷惑メールでは、URLの末尾の部分は筆者のメールアドレスであった(モザイクでぼかしてしている部分)。これが最も分かりやすい個人識別URLである。メールアドレスの代わりに、電話番号や氏名が入った個人識別URLもある。

Webサーバーには、利用者が入力したURLをアクセスログとして記録する機能がある。URLの中に個人を識別できる情報が含まれていれば、ログを使ってサイト運営者は誰がアクセスしたかを把握できる。

ただし、メールアドレスや電話番号だと、利用者もひと目で個人情報だと見抜いてしまう。そこで、個人情報をURLにストレートに含める代わりに、個人に付けた番号だけを記入することが多い。

【実例2】では、「51&5452166655」が筆者のことを示す番号だろう。数字だと怪しまれると考えて、数字を英字や言葉で置き換えた「個人識別ID」を使う業者もいる。

あなたのご意見をコメントやトラックバックでお寄せください

記事検索 オプション

日経BP社の書籍購入や雑誌の定期購読は、便利な日経BP書店で。オンラインで24時間承っています。

ご案内 nikkei BPnetでは、Internet Explorer 6以降、 Safari 2以降、Opera 8以降、Netscape 8.1以降またはHTML 4.01/CSS level 1, 2をサポートしたWebブラウザでの閲覧をお勧めしております。このメッセージが表示されているサポート外のブラウザをご利用の方も、できる限り本文を読めるように配慮していますが、表示される画面デザインや動作が異なったり、画面が乱れたりする場合があります。あらかじめご了承ください。

本文へ戻る