#題名と内容の多くが微妙にすれ違っているが、最後に一応、題名に内容がたどり着く構成である。
スパイならポケモンGOをどう使うか 編集委員 高坂哲郎 :日本経済新聞
http://www.nikkei.com/article/DGXMZO05508520R00C16A8000000/
上掲記事は、本日(平成28年8月4日)の日経朝刊に電子版を紹介する形で掲載されている。
高坂氏の記事に示された懸念のうち、「スマホを持ち込むべきでないところに持ち込まない」という点については、その通りである。しかし、技術上の仮定があり得ないものとなっている。このため、本記事は、かえって民心を惑わす内容となっている。本記事では、高坂氏の誤りを指定しておくことにする。私のポケモンGOについての理解は、以前に示したとおりである(リンク)。
高坂氏の想定するクラック手法は、およそ次の4段階であるが、そのいずれにも無理があると考えることができる。まず、不正アクセスによって、サーバをクラックする。次に、クラックされた状態を継続し、ユーザの位置情報から、ユーザを選定する。選定されたユーザを釣るために、重要施設内にレアアイテムなりポケモンなりを発生させる。最後に、ターゲットとしたユーザが重要施設内を撮影するよう誘導する。
第一段階は、もとより難しそうであるが、コンピュータセキュリティは、私の本業ではないので、詳しい検討は私では行えない。しかし、サーバに対する不正アクセスは、サイバー攻撃と見なされ、戦争の端緒にすらなりうることを指摘できる。戦争してまでクラックするに足る内容ではない、ということは、「スパイの身になって考え」てみれば、直ちに了解可能なことである。私は、この記述から、高坂氏のセンスを疑うに至った。(つまり、仮定の第一段階からおかしいのである。)
第二段階についてであるが、ユーザの位置情報が個人識別可能なように保存されていると積極的に考える理由は、ない。個人識別可能でユーザの位置情報を記録していくことは、価値がないわけではない。しかし、大抵の分析は、時間単位ごとのセル内のユーザ数のように、集計データで十分であるし、その際、個々の端末の移動状況を再現可能なように記録する必要もない。ゲームのおもしろさを増す要素として、移動距離の長短(前回ログイン時からの経度緯度の差)や移動した国の数(IP)も考えられるものの、これらのデータを個人識別可能なように保存する必要も、特にない。特定位置に周期的に存在する端末を抽出する必要性がサーバの側になければ、このようなデータが保存される可能性もない。仮に、特定端末について、位置情報(緯度・経度・高さ・時刻)がテーブルになっているとしても、このデータは、長大な一つの表になっている必要がない。データベースがあまりにも大きくなりすぎ、しかも、それが完全である必要がないときには、不正アクセスしたユーザが捕捉したいユーザを含むテーブルを取得できるとは限らないであろう。(それが最近のビッグデータの使い方のようである。)あるかどうか分からないデータを取得するために不正アクセスするのは、合理的ではない。
第三段階であるが、レアアイテムやレアポケモンを勝手に作成して、サーバに登録し、運用するという作業は、必ずや運営者に気付かれるであろう行為である。もとより高いレア度のポケモンは、慎重に運用されているであろうから、レア度の高いポケモンが非常に近い位置に三体集まっていたら、しかも、それがユーザ数のきわめて少ない場所であったならば、いくら何でも運営者だけでなく、ユーザすら気が付き、騒ぎ出すであろう。不正なアイテムについても、同様である。ユーザからの不正報告などによって、想定しないルートから不正が発覚するのは、侵入者が身バレしたことを自覚できないために、危険である。
第四段階は、きわめて難しい。クラッカー側が重要施設内部を見たいという目的を有していたとしても、位置情報の精度やアンテナへの接続状況によっては、目的を達成することが困難であろう。
以上にみた私の批判をふまえれば、高坂氏の考えた方法は、きわめて実現可能性の低いものであり、ポケモンGOそのものを批判する材料としては、完全に的を外したものである。合法的な契約を締結した以上、その契約に則る形で運営が維持されている限り、責任はユーザの側にある。高坂氏の考える方法があまりにも可能性の低いものであるので、代わりに、ありえそうな危険を考えてみると、その方法は、スマホ本体を乗っ取るというものになるであろう。つまり、サーバサイドではなく、クライアント(端末)サイドがクラックされ、悪用される虞の方が、遙かに高いのである。
重要施設の付近に位置するクライアントが個別に狙われて乗っ取られる、という虞は、十分に認められるが、これは、ポケモンGOに限らず、ほぼすべてのアプリに共通する危険性である。重要施設は、わが国では、わが国の急峻な地形という条件があるために、ほとんどの経路が限定された状態にある。途中に無線LANのアクセスポイントを設けて、いろいろと引っかかるのを待つという方法は、ポケモンGOサーバをクラックするよりも、圧倒的に楽で、問題として対処すべきものである。そのニセのアクセスポイントを通じて、ニセのポケモンGOクライアントやパッチをダウンロードさせ、本来の正規サーバに接続すると同時に、ニセサーバへも同報させて、情報を抜き取るために用いるということは、それなりに考えられる危険である。ただし、この場合には、どのように正規サーバによるクライアントの真正性チェックから免れるのか、が最大の課題になりそうである。
ポケモンGOがセキュリティ上問題となるケースは、いろいろと考えられるが、ほぼ間違いなく、高坂氏の懸念するような形では、情報流出のような問題が起こることはないであろう。基本的には、情報が流出したとしても、ユーザの責任となる構図となっているのである。どのような経緯で情報流出するにせよ、ターゲットの端末に何かを仕込まれるところまでの過程では、地理的プロファイリングを提唱したキム・ロスモ氏の言うところの罠師(trapper)に近い方法が取られるであろう。その後、ターゲットから情報を抜き取る機会は、流し網漁師(troller)のような形で得られよう。つまり、監視中のターゲットのカメラが偶然映し込んだ情報を必要に応じて保存するというわけである。このように得られる情報は、「いつか利用できる」類いのものであって、クラック側の知りたいことをピンポイント・リアルタイムで教えてくれるものではないであろう。
むしろ、ポケモンGOの流行に伴うセキュリティ対策として基本とすべきは、「ポケモンGOはお家やお外で遊ぼうね!」という、スマホゲーム全般についての啓蒙である。「職場で遊ばないのは当たり前!」ということを周知・啓蒙するのは、やや大人気ない話であるが、職場側が考えるべき話である。スマホゲームの単独のタイトルに処置を求めることは、やや過剰に過ぎよう。それに、機密保持が必要である場所に情報端末を持ち込ませないのは、企業や職場であれば、普通ではないだろうか。高坂氏の論法によって、ポケモンGOだけがスマホゲームとして槍玉に挙げられるのは、どうも納得がいかないのである。
韓国がポケモンGOから外れているのは、(ネットワーク?)地図データが提供されていないためであるという。地球地図には一定のデータが提供されているので、1km程度の誤差のあるデータであれば、世界中でプレイ可能であるということになる。ポケモンGOは、その精度よりも2桁以上の低い誤差しか許容しないゲームであろう。
Ingressにしても、ポケモンGOにしても、なぜ平行四辺形状のセルになっているのであろうか。少しばかり気になる話である。私が最初に考えたことは、ある衛星軌道から見た場合に何らかの意味を有しているのであろうか、ということである。非オルソ画像を用いていても、衛星画像からイベント発生箇所を抽出・選定しやすくなるからとか?と考えてみたのである。
「ポケモンGO」なぜか韓国でゲットだぜ! 北朝鮮との境界近くに押し寄せる人々
http://www.huffingtonpost.jp/2016/07/14/pokemon-go-korea_n_10983510.html
0 件のコメント:
コメントを投稿
コメントありがとうございます。お返事にはお時間いただくかもしれません。気長にお待ちいただけると幸いです。