フリー無線LAN「ConnectFree」は個人情報収集機か?

                  emunoki_img_111205_01

コネクトフリー社が提供する無料の公衆Wifiサービス「ConnectFree」に対して、個人情報収集の問題が発見された。
接続するとtwitterやFacebookといったアカウント情報を収集され、接続機器と関連づけされるようだ。

この問題について調査を行い、まとめた。

ノマド時代の無線インターネット

コネクトフリーのサービス無料の無線インターネットと非常にシンプルでだ。その内容としてはフリースポットなど同種のサービスほぼ同じサービスといえる。サービス内容についての詳しくは先のリンクからコネクトフリー社のページで確認してほしい。

読んで頂けると分かるかもしれないが、先ほどあげたフリースポットとの大きな違いは収益モデルだ。フリースポットは設置によって顧客の増加を図るなどで収益を上げ、それによって回線費用などを償却するモデルだ。これに対してコネクトフリーはそのインターネット通信自体で回線費・収益を得ようとするモデルになっている。

この取り組みの背景には欧州と日本のインターネット事情の違いがあるようだ。欧州では都市圏には無料の無線インターネットが整備されているのが当たり前なのにたいして、日本では情報機器の規模に対してそのような取り組みの規模が小さい。この原因は無線インターネットの設置・運用にかかる費用を考え、設置躊躇してしまうというところが大きいと言われている。
そこでコネクトフリーは無線インターネット自体の収益可能性を高め、設置者が躊躇しない仕組みを作っている。それによって日本国内における無線インターネットの普及率を欧州レベルへ近づけることを目指しているようだ。ブラウジング中のページへ強制的に広告などを組み込む仕組みを導入することによって広告収入を得るなどの方法をとっていたようである。

街中に無線インターネットが普及すれば、低速な3G回線からスマートフォンを解き放ち、タブレットも思う存分使える。また、パソコンでの作業だって可能になるだろう。
コネクトフリーの目指すところには、筆者としても強く共感できる。

コネクトフリーの問題点

上記のように、その問題提起と解決策だけを見れば非常に斬新でおもしろい。
ただ、コネクトフリーの場合その手段に大きな問題があるようだ。

まず大前提として、コネクトフリーの無線親機を経由してインターネットに接続した場合、ページの上部に青色のバーが表示される。下のスクリーンショットを見てもらえれば、Googleの通常の表示の上にそのバーがあることが確認できるだろう。
これはSSL通信を行っている場合を除いてあらゆるページに対して表示される。

このバーはただ情報表示や店舗ページへのリンクが表示されるだけで、一見無害なように見える。
しかし、その裏にはもっと様々な機能が実装されていたことが、セキュリティ研究家の高木氏(@hiromitsutakagi)のtwitterによって問題提起された。これによると以下のような個人情報収集機能やページの改ざん機能を持っているということである。

  • ユーザPCのMacアドレスを取得
  • ユーザのtwitterやfacebookアカウントを関連づける
  • Google Analyticsを強制的な挿入
  • Amazonアフィリエイトの強制的な挿入

コネクトフリーでインターネットへ接続した場合、強制的にHTTPプロキシという中継サーバーを介した通信に切り替えられる。この中継サーバーで青色のバー表示を挿入する処理が行われているのだが、この際に個人情報も収集しているというのだ。さらに、それらの情報は接続者のMACアドレスにひも付いて個人ごと識別可能な状態で管理されているという。

また、サイト上にあるAmazonアフィリエイトをコネクトフリーのものに乗っ取り、「サイト運営者でなくコネクトフリーへアフィリエイト収入が入る」状況もつくっていたようだ。本来入るべき収入を横取りされたサイト制作者にとっては到底許せないことだろうし、著作物の同一性保護権に違反しているという指摘もある。

これら高木氏の調査について詳しくは、下記のtogetterに詳しくまとめられているので是非参照してほしい。

高木氏などの発言がまとまったtogetter

筆者による調査

筆者はこの問題を受けて、実際にコネクトフリーが設置されている関西某所の喫茶店で調査を行った。
その結果、上記で挙げられた問題のうち、上2つの個人情報収集機能ついてはその問題の存在を確認することができた。しかし、下記2点(アフィリエイトを乗っ取る機能)についてはすでに削除対応となっていた。明確に規約違反であるということを理解しての対応ではないかと推測される。

では、twitterのアカウント情報がサーバーによってデータが管理されていることを簡単に知る方法を紹介しておこう。
コネクトフリーから接続中に、以下のjavascriptコードをブラウザのアドレスバーへ入力するだけだ。

javascript:alert(cfbar_clientdata["sns"]["twitter"]["id"])


筆者のtwitterID(@umisama)が表示されていることがわかるだろう。(ただし、再現するためにはhttp経由でtwitterに一度ログインする必要あり)
コネクトフリーのサーバー側で挿入されるコードを確認すると、このような内容があることがわかる。このオブジェクトがページ内からパブリックに参照可能であることが、上記実験コードの種だ。

var cfbar_CID ={ “sns”: {“twitter”: {“id”: “umisama”, “ts”: 1323071420}}}
(大幅に簡略化しています)

twitterにログインした場合、このようにスクリーンネームとユーザーIDが取得されサーバに保存されている。さらに、facebookにアクセスした場合にも同様にIDを保存され、twitterとfacebookのアカウントをヒモづけられているようだ。twitterを匿名で楽しんでいる人にとっては致命的だろう。
また、この際に個人を識別するためかMACアドレスも同じオブジェクト内に含まれている。本来は参照出来ないはずのサーバーでMACアドレスが管理されていることから、ルーターに何らかの細工が施されていることが想像できる。

そのうえ、これらサーバ側で保存された個人情報がJavascript中に平文で保存されていることも問題だ。悪意あるWebページ制作者は簡単にtwitterアカウントとfacebookアカウントを知ることが出来るということになり、言うまでも無く非常に危険である。
架空請求サイトがfacebookアカウントを取得できれば、そこから本名を取得しページに表示することで信憑性を持たせることも出来るだろう。このような「凶悪な利用方法」が何パターンでも容易に想像できる。

少なくとも、このように保存され、利用されることをユーザに対して事前に許諾させるようなインタフェースが無いのは言い逃れのない問題だといえよう。プライバシーポリシーが示されていないのに個人情報が保存されては、どのような利用方法をされているのか確認する手段が無くユーザーにとって不利益しかない。

設置店舗の反応

コネクトフリーを設置している店舗の店長にお話を伺うことが出来たので紹介しておこう。

Q. ConnectFreeというサービスについてどう思っているか?
今後このようなサービスは増えていく。
スマートフォン、ノマドといった最近の潮流の中で、必要になっていくはずだ。

Q. ConnectFreeの個人情報収集について認識していたか?契約内容は?
認識していなかったし、コネクトフリー社側からそのような説明がされたこともなかった。
契約内容については公表することが出来ない。

Q. (実証デモを見せて)このような状態に問題があると思うか?
問題があると思う。この件については、コネクトフリー社へ問い合わせて対応を考える。

この話からは、店舗側ではこれらの情報を利用していなかったし、存在そのものを知らなかったものと見られる。


当面は、コネクトフリーのアクセスポイントには接続しないことが賢明だろう。
この問題はこれから大きな問題になる可能性が高く、コネクトフリー社が良心ある企業であれば改善されるはずだ。それまではとにかく繋がないことで自衛するのが最良の選択だと思われる。

個人的には、今後この問題に対して真摯な対応がなされて個人情報問題が解決することが望ましいと感じている。
コネクトフリーが目指すところは、間違いなくすばらしいものだ。正しい道筋を通って理想へ到達することを期待する。

スマートフォンに関する古今のセキュリティ問題の噴出を受けて、本誌では近日中に連載を開始する予定です。

(2011/12/05 21:15 一部表現を改めました)
(2011/12/06 00:00 コネクトフリー社がプレスリリースを発表した件などについて続報を公開しました。