EFF's Top 12 Ways to Protect Your Online Privacy
Stanton McCandlish, EFF Technology Director
エレクトロニック・フロンティア財団(EFF)
結城 浩<hyuki@hyuki.com> 訳
1.8版 — 2001年8月10日
注意: この文章の中で、特定の製品、サービス、あるいは会社名に言及している場合でも、 EFFがそれを保証したり推薦したりしているわけではありません。 例やリンクは読者の出発点として提供するものであり、 読者は、自分に必要なセキュリティの度合いや、 個々の製品やサービスが自分の必要に合っているかどうかを、 自分で判断しなければなりません。
Webブラウザを適切に設定していないなら、 自分でも知らないうちに、 電子メールアドレスや他の連絡先を含む個人情報の詳細を「たれ流している」かもしれません。 ブラウザの「設定」「オプション」あるいは「Preferences」メニューでは、 あなたの本名ではなく匿名を使い、 電子メールアドレスを入力せず、 共有を望まないその他の個人識別情報は与えない方がよいでしょう。 信用しているサイトを訪問するときには、 サイトに置かれたフォームを使って、 自分の情報を相手に与えてもよいでしょう。 しかし、ブラウザに対して、 その情報をどんな相手に対しても流せるという潜在的可能性を与える必要はありません。 システム全体に影響する、 あなたのコンピュータの「インターネットデフォールト」プログラム (例えばWindowsのインターネットコントロールパネルや、MacOSのコンフィギュレーションマネージャ、 それにInternet Configという名前のMacのユーティリティなど)にも注意しましょう。 これらは、 複数のWebブラウザやインターネットツールのダウンロードしたファイルの取り扱い方法を統一するなど、 さまざまな点で便利ですが、 もしも個人情報を記入するフィールドがあるのなら、 ブラウザと同じように匿名化しておく必要があるでしょう。 子どものいる家庭では、さらに別の「セキュリティ問題」があるかもしれません。 子どもに対してはっきりしたルールを定め、 サイトごとに、あなたがよしと言わなければ個人情報を開示してはならない、 と子どもたちがわかるようにしていますか。
「クッキー」というのは、 Webサイトがあなたのコンピュータに一時的あるいは多少なりとも永続的に保存する、 小さな情報です。 多くの場合はクッキーは便利で無害です。 クッキーとして使われる情報はパスワードやユーザIDの場合もありますが、 それは、クッキーを発行するサイトで新しいページをロードするたびに何度もタイピングしなおさなくてもすませるためです。 しかし、 その他のクッキーは「データマイニング」に用いられることもあります。 つまり、Webサイトでのあなたの動き、そこで過ごす時間、どのリンクをクリックするか、 あるいは会社が(たいていマーケティングの目的で)記録したいと思っている他の詳細情報を追跡するためです。 たいていのクッキーは、作成した人たちだけが読みます。 しかし、オンラインバナー広告を管理している会社の中には、 その仕組み上、クッキーを共有しているリングに属している場合もあります。 そういう会社は、あなたがロードしたページは何か、あなたがクリックした広告は何か、などを追跡し、 その情報を他の顧客のWebサイト(何百あるいは何千にものぼる場合があります)と共有します。 それらのクッキーリング(DoubleClickやLink Exchangeなどはその一例です)のすべてが、 実際にユーザのデータを共有しているかどうかは不明ですが、 潜在的には、共有は確かに可能なのです。
ブラウザは、ユーザがクッキーを制御できるようにし始めています。 例えばネットスケープでは、サイトがクッキーファイルをハードディスクに書こうとするときに注意書きを表示し、 情報をいくらか表示し、 そのクッキーを受け入れるかどうかをあなたが決定できるようにすることができます (機能がはっきりわからないクッキー、ロードしようとしているページとは別のところに行くクッキー、 一時的でないクッキーには注意しましょう)。 また、サードパーティへ送られようとしているすべてのクッキーを自動的にブロックすることもできます (すべてのクッキーを完全にブロックすることもできますが、そうすると利用できなくなるサイトもあります)。 インターネットエクスプローラはネットスケープ風の機能に加えて、 クッキー管理インタフェースを持っています。 それを使うと、サイトごとにクッキーを有効にするか無効にするかを選択することができます。 あるサイトについてクッキーを全般的に受け入れるという設定にしても、 怪しいと思った特定のクッキーを削除することもできます。 インターネットエクスプローラを使って、あるサイトのクッキーを一時的に受け入れる設定にしておき、 それからもう不要になったときに無効にすることもできます (例えば、注文するときにクッキーを必要とするようなオンライン書店で、 注文するとき以外に 自分がどの本を見ているか、 どのリンクをたどったか、などを追跡させたくないような場合に使えます) クッキーの警告をオンにすると、 警告のボックスがポップアップしますが、 何回か練習したら、 ほとんど意識しないで「いいえ(クッキーを保存しない)」を押せるようになるでしょう。 考え方はこうです。 クッキーが必要なサイトで、 しかも あなたが信用しているサイトに対してのみクッキーを有効にするのです。
クッキーを管理するソフトウェアやサービスを利用することもできます。 一例は、Internet Junkbuster Proxy http://www.junkbusters.com/ht/en/ijb.htmlです。 このソフトはWin95/98/NTおよびUnixで動作します(Mac版はありません)。 このソフトはクッキーを選択的にブロックすることができます(and banner ads, to boot)。 interMute http://www.intermute.com/も似たようなことを行ないます (もっと別の機能もあります——ポップアップウインドウが出ないようにするなど。 Windowsでのみ動作します)。
別の選択肢としては、「infomediary」 (家庭用のソフトウェア製品もあり、ネットワークベースで使う製品もあります) を使うことです。 例えば SeigeSoftのSiegeSurfer ( http://www.siegesoft.com/_html/tutorial.asp ) Zero Knowledge Systems' Freedom ( http://www.freedom.net ) などがあります。 これらの製品やサービスはプロキシー、すなわちあなたと訪問先のサイトの間の盾として振るまいます。 そしてWebサイトに対して、どこからあなたが訪問してきたか、 あなたが誰であるか、を完全に隠すことができます(そしてすべてのクッキーをチェックします)。 現時点ではたいていがWindows版だけです。 ただし、Anonymizer ( http://www.anonymizer.com/3.0/affiliate/door.cgi?CMid=13763) や ( http://www.safeweb.com) は同様のサービスをプラットホームに依存せず提供しています。
最適の解決策、すなわちブラウザ自身に組み込まれた完全なクッキー管理機能、はまだ存在しません。 ユーザからの圧力が増してはじめて、 マイクロソフトやネットスケープや他のブラウザメーカーがそれを実現してくれるのです。 全ドメインベースでクッキーを拒否し、 第三者からのクッキーをデフォルトで拒否し、 現在のトランザクションに必須ではないすべてのクッキーを拒否し、 あるクッキーが何を意図したものであるかの正確な注意書きを受け取り、 ページごとにクッキーの操作をするのではなくデフォルトの振るまいと許可を設定することができる… 究極的には、ユーザがそのようなことをできるべきなのです。 しかしそれはまだ不可能です。 あなたのブラウザを作っている会社に連絡をとり、 このような本質的な機能を次の版に要求するのが望ましいでしょう。
知らない集まりに対してメールするとき—— ニューズグループにポストするとき、 メーリングリストにメールするとき、 チャットルームや他のネット上の公的スペースに書き込むとき—— あるいは自分のメールアドレスを書いたWebページを公開するとき、 あなたの「副」アカウント つまり、匿名にしたものや、 単純に別のアドレスを使うのがベストです。 そして、自分のメインで気に入っているアドレスは、 小人数のメンバーだけが参加できるメーリングリストや、 互いによく知っている信用できる個人に対してのみ使うのがベストです。 公的なスペースに書き込んだアドレスは(たとえメッセージヘッダの一部としてでさえも)簡単に スパマー(オンラインのごみメールを出す人々)によって見つけ出され、 標的の一覧表に加えられてしまいます。 もしもあなたが公開している「使い捨て」アドレスが スパムの対象となって不快になってきたら、 それを切り捨ててしまって、 新しいアドレスを使い始めればいいのです。 そうやっても、あなたの友人や上司などは、あなたの「本当」のアドレスを知っているので問題はありません。 YahooメールやHotmailのような無料の(広告付きの)電子メールサービスプロバイダをそのような「副」アカウント として使うこともできます。 メインのアカウントとしては、 「本当の」インターネットサービスプロバイダのものを使い、 プロバイダのプライバシーポリシーとサービスの条項を調べるのがベストでしょう。 というのは、「フリーメール」サービスの中には、 プライバシーの追跡記録が貧弱なものもあるからです。 複数のユーザIDとアドレス(すなわち「個人設定」や「エイリアス(別名)」など)が 使用できる電子メールパッケージを使うのがベストと思われる方もいるでしょう。 それを使えば、 複数の電子メールアドレスを管理するために複数のプログラムを切り替える必要がなくなるからです。
インターネットのコミュニケーションはスピードが早いので、 オンラインで知人や友人ができるスピードも早くなりがちです。 でも、その知人や友人が実生活でどんな人間であり、 どんな感じなのかを本当には知らないということを意識することは重要です。 千マイルも離れていては、その人の友達の友達だって知らないし、 その人物を照会をする他の方法も知りません。 直接面と向かって会う機会にも注意をはらう必要があります。 あなたがネットで会った新しい友人と直接会う場合には、 公的な場所で会いなさい。 友達も一緒に連れて行って会うのはいい考えです。 神経質になる必要はありませんが、お人好しのカモになってはいけません。 相手をよく知るまでは、 (クレジットカード番号などは当然ですが) フルネーム、職場の場所、電話番号、住所などの個人情報は出さないようにした方がよいでしょう。 言うまでもないことですが、 そのような情報を個人のホームページに掲載すべきではありません (もしも仕事用のホームページを持っているなら、 仕事上の連絡先を掲載するのはいいですが、 そのページをチャットルームで会った人みんなに公開する必要はありません)。 このような理由などから、仕事関連のページと「勤務外」版という具合に、 二つの個人ホームページを管理している人も多くいます。 商業的な場所においても「会ったばかりの友人」に気をつけなさい。 ありがちな「ソーシャル・エンジニアリング」による産業スパイ活動は、 まず誰かとオンラインで知り合いになり、 内部情報を入手するというものです。
合衆国の多くの州、それから多くの国では、 従業員は経営者から監視されないようにしてプライバシーを守ることができませんし、 できたとしても守れる範囲はほとんどありません。 電子メールや他のオンラインのメディアを使って微妙な事柄を話し合うときには、 あなたが話している相手は誰であるかを確認しましょう。 あなたが、メーリングリストの投稿に返事するなら、 ヘッダをチェックしましょう——あなたの返事はあなたが考えている通りの相手に届くでしょうか、 それともメーリングリスト全体に届くのでしょうか。 それからまた、メールの使い方と同じく、従業員のWebの使い方を監視・記録する 経営者が増加しているということにも気をつけましょう。 このことはホームバンキングのパスワードや他の重要な情報を危険にさらすことになる場合もあります。 個人的なデータや個人的なネット使用は、プライベートな状態に保ちましょう。 つまり、家でやればよいのです。
賞金や賞品を提供するサイトは、直接的なマーケティングを行なう目的で情報を集めている可能性が非常に高いです。 多くの場合、あなたの名前と住所は彼らにとって、 提供される(かもしれない)賞金や賞品よりもずっと価値が高いのです (なぜなら、彼らはその情報を他のマーケティングを行なっている人に売ることができ、さらにその人は再度他の人に、順繰りに売るのです)。 賭け事やコンテストには特に注意してください。あなたは恐らく勝つことはないでしょう。 しかし、あなたが自分の情報を与えたら、マーケティングを行なっている人は必ず勝つのです。
「スパム」すなわち望んでもいないのに送りつけられてくる大量の電子メールについては、 あなたはもうよくご存知(うんざり)かもしれません。 もしもあなたがスパム広告をもらったなら、 それがどんなものを提供してくれるとしても、絶対応じてはいけません。 それだけではなく、"REMOVE(削除)"と表題に書いて返事をするとか、 他のどんな(たぶんでたらめな)購読中止の指示に対しても返事をするような手間をかけてはいけません。 そんなことをしても、 あなたのメールアドレスは実際の人間が読んでいるものだと確認されるだけであって、 まもなくさらに何十ものスパマーのリストに載ってしまうのが落ちです。 あなたがメッセージを開くとき、送信メールキューに注意して、 「受信確認メール」がスパマーに自動的に返送されないように気をつけてください。 (一番いい方法は、メールのキューイングと送信は手動で行なうようにして、 即座に送信されないようにしておくことです。 そうすれば、メールが実際に送信される前にいったい何が送られようとしているのか見ることができます。 もしも受信確認メールへの返信を自動的に送る設定になっているなら、それはオフにしておきましょう) もしあなたのインターネットサービスプロバイダが良心的なら、 スパムメールのコピーをシステム管理者に送ると、 スパマーが使っているISPに苦情を伝えてくれるかもしれません (あるいはあなたがもしメールヘッダやDNSツールに詳しいなら、スパマーについてISPに苦情の連絡を直接言うこともできます)。 もしもあなたがスパムメールを山ほど受け取るなら、 多種多様なフィルターとアンチスパムサービスもあります。 例えば以下のようなものです。 Spam Hater ( http://www.cix.co.uk/~net-services/spam/spam_hater.htm ) はWindowsユーザ向け。 TAG ( http://alcor.concordia.ca/topics/email/auto/procmail/spam ) は経験豊かなUnixユーザ向けです。 SpamBouncer ( http://www.spambouncer.org ) は経験豊かなUnixユーザ向け。 BrightMail ( http://www.brightmail.com/individual ) は万人向け。 SpamCop ( http://spamcop.net ) は万人向け。 スパムと戦うためのさらなる情報は以下を参照してください。 Elsop's Anti-Spam Page ( http://www.elsop.com/wrc/nospam.htm )、 MaximumDownforce's Anti-Spam Info-n-Links ( http://www.maximumdownforce.com/hotlinks.html )、 The Whew's Anti-Spam Campaign ( http://www.whew.com/Spammers )など。 これらの多くは初心者が使うには難しいものですし、 いくつかはUNIXの専門知識が必要です。 エンドユーザ向けではなくISP専用のものもあります。
クレジットカード番号や、その他の機密性の高い個人情報を送信する場合には、 まずコネクションがセキュアである(暗号化されている)ことを必ず確認しましょう。 ネットスケープでは、ブラウザのウインドウの下の方にある、 閉じた鍵(Windows版)あるいは壊れていない鍵(Mac版)のアイコンを見つけましょう。 インターネットエクスプローラでは、 閉じた鍵をウインドウの下から探すか(Windows版)、ウインドウの上の端近く(Mac版)を探してください。 どのブラウザであってもURL(Webアドレス)の表示行を見ましょう——セキュアなコネクションは"http://"ではなく"https://"から始まっているでしょう。 もし、機密性の高い情報を要求するページが"http://"で始まっていたら、 "s"を自分で足してみてエンターキーを押し、ページを再ロードしましょう(ネットスケープやインターネットエクスプローラの場合。 他のブラウザでは、そのブラウザで新しいURLのページを再ロードする方法を使ってください)。 そのページやサイトが存在しないというエラーメッセージが出たら、 それはたぶん、その会社がとても思慮が浅く——あなたの情報やお金の取り扱いが軽率で——Webセキュリティすら持っていないという意味です。 他のサイトを相手にビジネスをしましょう。
コインの反対側の面、すなわちあなたが使っているコンピュータ自身もインターネットセキュリティの問題源になる可能性があります。 モデム+電話線ではなく、 24時間動作しインターネットに接続しているDSLラインや他のコネクションを使っているなら、 使っていないときコンピュータは必ず切っておきましょう。 たいていの家庭で使われているPCは、 多くの商用Webサイトで使われているUnixワークステーションと比べて嘆かわしいほどにセキュリティが貧弱です。 システムクラッカーは、攻撃しやすく、人がついていない、DSLに接続されているホームコンピュータを探しています。 そして驚くほど簡単に侵入し、クレジットカード番号などの貴重なデータを求めてファイルを探しまわります。 あるいはコンピュータを「のっとったり」することさえあります。 のっとってひそかに使い、別の場所の他のコンピュータに攻撃をかけたりするのです——そのような攻撃は、 見つかったらあなたが最初にとがめられるでしょうね。 このような種類の攻撃から自分を守るには、ファイアーウォールソフトやハードを使う手もあります。 ファイアーウォールはコンピュータショップで入手できます。 http://www.shareware.comや、 http://www.download.comといったところからフリーウェア、シェアウェアとして入手することもできます。
あるWebサイトとビジネスを行なうかどうかを考慮するときに、 セキュアなコネクションの他にも、Webセキュリティと同程度に重要な要因があります。 そのサイトは、郵便の住所が含まれているオフラインの連絡先を提供していますか。 またはっきりわかるようにプライバシーポリシーを掲示していますか。 もしそうなら、そこには何と書いてありますか (単に「プライバシーポリシー」と書かれているだけではそれがあなたを守ってくれるとは 限りません——それを自分で読みなさい。 多くのプライバシーポリシーは「あなたにはプライバシーがない」という免責事項に毛の生えたようなものです。 ですから、注意深く読んでください)。 そのポリシーがOKなら、今度はそれを信用できますか。 あなたはその会社についてこれまで聞いたことがありますか。 評判はどうでしょうか。 それから、その会社のプライバシーに関する主張を裏付ける保証の印、 例えばTRUSTe ( http://www.truste.org)やBBBonline ( http://www.bbbonline.org)はありますか (そういった保証の印は、 完全ではありませんが、 Webサイトを少なくともある程度の水準に保ち、 主張に反する悪い行いをした会社に対しては、 保証の印のライセンスを(鳴り物入りで)無効にする場合もあります)。 保証の印があったら、それは本物でしょうか。 保証の印を発行しているサイトに、偽物でないか確認しましょう。 また、製品を購入するのではなくサービスを受けるのなら特に、条項を注意深く検討してください。 auto-rebilling scamsや隠れた料金に注意しなさい。
あなたを個人的に識別できる情報を安易に与えてはなりません。 商店の店員に自分の家の住所や電話番号を伝えるときによく考えるのと同じように、 サイトが個人情報を尋ねてきたからとか要求されたからというだけで、 それを教えなければならないというわけではない、と心に刻んでおきましょう。 あなたが何かを購入する場合には、 正確な支払い情報を与えなければならないのはもちろんのことです。 しかし、フリーのサイトに登録するだけなら、 それは少しばかりお世話しすぎというものであり、 相手に対して匿名にするのは、たいていの地域で法に反する行為とはなりません (しかし、もしそうする場合でも、明らかに嘘だとわかる住所を使う方が礼儀に適っているでしょう。 例えば「無無県 無無市 無無町 123番地」などのようにします。 もし相手がこの情報に基づいて郵便を出そうとしているなら——おそらくプライバシーポリシーにしたがって—— 彼らはそのような住所を取り除き、切手代を無駄にすることがないでしょう。 もちろんのこと、誰か他の人の実際の住所を絶対使ってはいけません)。
最後に、 横暴なマーケティングを行なう人や、おせっかいな上司や、スパマーやスキャマーのほかにもプライバシーに対する脅威はあります。 例えば、産業スパイや、政府の監視官、個人識別情報を盗む人、不満を持っている以前の同僚、そしてシステムクラッカーなどです。 比較的使いやすい電子メールやファイルの暗号化ソフトがフリーで入手できます。 例えばPretty Good Privacy (PGPと呼ばれます。入手は http://www.pgpi.orgから可能)は、 ほとんどすべてのコンピュータ上で動作し、 さらに、多数の主要な電子メールソフトとシームレスに統合されています。 良い暗号は非常に堅牢な暗号プログラムを使っており、 あなたのデータをクラックすることが不可能とまではいかなくても困難にしてくれます。 infomediaryサービスよりも特化されたサービス(有料のものも、無料のものもあります)を使うこともできるでしょう。 例えば、すべてのコネクションをセキュアに暗号化された「トンネル」を使って行なうもの、 匿名になっているダイアルアップ、また匿名のWebページ公開すらあります。 Anonymizer ( http://www.anonymizer.com/3.0/affiliate/door.cgi?CMid=13763)はこれらのサービスをすべて提供しています。 他の製品ではFSecure SSH ( http://www.fsecure.com/products/ssh/)や SecureCRT ( http://www.vandyke.com/products/securecrt/) がSSHのトンネリングパッケージ(ポートフォワーディング)(および他の機能)を提供しています。
願わくは近い将来、 良い暗号とコンピュータセキュリティがすべてのISPのサービスとオペレーティングシステムに含まれてほしいものです。 しかし、現在のところは、良いサービスプロバイダとアドオンする製品を熱心に探す必要がありますね。
この文書は、 エレクトロニック・フロンティア財団 The Electronic Frontier Foundation (EFF) が公開している EFF's Top 12 Ways to Protect Your Online Privacy の全訳です。
翻訳は、 結城 浩<hyuki@hyuki.com> が行ないました。 この翻訳の公開にあたってはEFFの許可を得ています。 再配布や別サイトでの公開についてはEFFの許可を得ていませんので、 各人の判断でお願いします。 もちろんリンクは自由です。
文中のリンクや製品情報は原文のものをそのまま翻訳しました。 必ずしも日本のユーザの実情に合っているとは限らないことをご理解ください。 また、翻訳者はこの文章を有益だと考えていますが、 すべてのアドバイスに賛同するわけではありません。 内容については各人が判断してください。
もしも、誤植や誤訳などがありましたらお気軽に hyuki@hyuki.comまでお知らせください。
1.6版に関して情報を送ってくださった yomoyomoさんに感謝します。
この翻訳のURLは https://www.hyuki.com/security/effpriv.htmlです。
プロジェクト杉田玄白協賛テキスト。