真正証明

前沢友作氏の「なりすまし詐欺広告」訴訟 Metaは争う姿勢 第1回口頭弁論
https://www.itmedia.co.jp/news/articles/2407/09/news186.html

これ、どうなるんだろうか?展開が気になる。
と思っていたら、今日のニュースで、これが流れた。

偽サイトに誘導も STARTO社、偽アカウントの発信者情報開示申し立て
https://news.yahoo.co.jp/articles/dd3fd39a1f30a9057a2f9c8e97c2719332d4d140

ネットに投稿されるフェイクも問題だけれど、今日も私は東京電力、黒猫ヤマト、アマゾン、その他あまたの銀行やクレジットカード会社を名乗るメールを、以下のサイトに通報したけれど、

情報提供のお願い - 日本データ通信協会/迷惑メール相談センター
https://www.dekyo.or.jp/soudan/contents/ihan/

だいたい毎日30通くらい。面倒臭いけれど、いつか撲滅できると信じて、、、。

httpsは、web経由のデータ通信を暗号化するために、認証局(CA: Certificate Authorities)から「鍵」を受け取る仕組み、で、ほとんどの人が意識せずにこの暗号鍵のサービスを使っている。

思うに、メール、SNS、WEB書き込みなどの際の「本人の真正証明」を行う仕組みが必要じゃないかと、思えてならない。
実際、他人を名乗るメールを送るなんて、ちょっとネットのことを勉強したらすぐにできる。メールの差出人が本人であるかどうか、特にビジネスがらみの場合、メールサーバがハッキングされていたら、トロイの木馬とか、ランサムウェアの侵入口にされてしまうリスクが大きい。

細かい制度設計とかは考えていないけれど(ってか、毎度のことながら、私が考えたって、単なる野良犬の遠吠えだから、ざっくりとしたアイディアだけれども、)真正証明用の「発信元認証局」を公的サービスが立てる必要があるんじゃないか、という気がしてならない。それをやらなければ、詐欺の被害はいずれ「兆」の単位に届くと思う。

まず、ユースケースから。
メールを送る場合に、メールの設定フィールドに、メールアドレスの他に「発信元認証用ID」番号を追加し、メールを受け取った相手のメールソフトは、その「発信元認証用ID」を「発信元認証局」に問い合わせる。発信元認証局は、そのIDから「登録済み情報」から、「公開可能」と設定してある内容をメールソフトに送り返し、メールソフトは、メールそれ自体に添付されている"Sender"(送信元フィールド:なんとでも書ける項目)とは別に「認証済み発信元」の情報として表示する。送信者が登録していないなら、「発信元認証情報」の表示ボタンなどは現れない。

この「公開可能」な情報とは、一般の個人の場合、氏名くらいかな、と思う。人によっては「生年月日」から計算された「年齢」を公開してもいい、という人もいるかも知れないし、住所も「市区町村」のレベルまでとか、「都道府県」までとか、自分について知られてもいいという範囲までの登録情報を公開させて、それが「認証済み発信元情報」として相手のメールソフトに表示される、もしくは、表示しようと思えば表示できるようにする。(後で書く、無料では難しいかも知れない。) 
前澤友作氏のような有名人の場合には、「顔写真」まで公開可能な情報に登録してもらうのが有効だろうと思う。別人の顔を見たら、前澤さんだとは、普通は思わない気がする。
法人の場合には、例えば「業種」だとか「本社所在地」だとか「会社のロゴ」だとか、誰もが「あ、あの会社だ」とわかるような(この辺、詳細設計する人に丸投げするとして、そういう)情報がメールソフトに表示されるようにする。

SNSなどのアカウントの場合には、SNSのタイムラインのアバター(アイコン?)などの部分に表示するか、「真正確認」などをクリックすると、これらの情報のポップアップが表示できる様にする。すなわち、SNSのアカウントを開設する際に、「発信元認証ID」をSNSの運営会社に登録できるようにする。SNSは匿名のアカウントで言いたいことを書いている人も多いから、無論「真正確認」をクリックしたときに「発信元情報の登録はありません」と表示されればそれでいいだけの場合が多いと思う。
詐欺に使う場合は、前澤友作さんにしても、STARTO ENTERTAINMENTの場合にしても、この「発信元認証」が使えるなら登録しても支障がないはずだし、とにかく有名人の「真正確認」ができることが重要だと思う。

次に、このユースケースに対して、悪用しようとしたらどういうことをするか?
私が例えば前澤友作を名乗って、この「発信元認証」に登録しようとしたら、どうするか。前澤さんの顔写真やら個人情報をネットから持ってきて、登録する?認証局が「登録」する前に、申請のあった住所に「この登録は、あなたですか?」と確認の「郵便」を郵送したとしても、住所や電話番号だけは私のものを書くから、「はい、私です」と返事をするのは簡単。(ってか、それだと、後でバレたときに足がつきやすいけれど、、、。)
だとしたら、マイナンバーカードとか、外国人の場合にはパスポートなんかともリンクさせる必要があるかも知れない。

マイナカードは、個人的には、非常に不安だった。だから、猛反対していた。役所に「セキュリティ対策の意識」があるとはとうてい思えない時代に、この提案が役所から出されて、バカ言ってんじゃねぇよ、としか思えなかった。
けれど、例えば、コロナ感染のアプリだとかで失敗したり、セブンイレブンのキャッシュレスがハッカーの標的になったり、などなどの社会情勢から、さすがにお役所もかなりセキュリティをきちんと対策するようになった気がする。ので、今は私もマイナカードを持ってる(私は、節操がありません。笑)。悪いことをする奴は、どこにだっていますからね。「システムの問題」ではなく「ヒトの問題」だけなら、自称SEとしては容認できる。(ヒトには、ここ十数年でかなり寛容になった。(笑))

個人の場合には「マイナカード」にリンクさせれば、「このSNS登録はあなたですか?」の確認の郵便物は、(私が前澤友作氏を名乗って、自分の住所で登録しようとしても)前澤さんのところに届くはずだから、勝手に前澤さんを名乗るのは難しくなると思う。(ってか、ここで私が、前澤さんのマイナカードを登録できるはずがないし、自分のを登録したら名前が違うのがはっきりしてるし、、、。)あと、どんな抜け穴がある?

では、法人は?
法人登録の確認を、登記簿で行うとして、ここ

https://www1.touki.or.jp/
登記情報提供サービス

につないだら、相変わらず「利用時間:平日8:30〜23:00 土日祝日 8:30〜18:00」とかに、なっていた。
使えねぇ。
110番通報、119番通したら「サービスは、平日の8時30分からです。サービス利用可能時間におかけ直しください。ピー」みたいな音声が流れる感じで、こういうサービスは、インターネットでは役に立たない。特に「インターネットでの法人の実在確認」には、法務省は役に立たない。理解力がなすぎる。でなきゃ、予算申請する気もないのか。

前回、法人の認証を取得する際に、私は東京商工リサーチのD-U-N-S (R) Numberサービスを利用して、法人の実在確認を発行してもらった。本当は公的機関に法人の実在証明をして欲しいところだけれど、役所が無理なら民間しかない。少なくとも、民間ベースで法人の実在証明の仕組みができているから、それとリンクさせればいいと思った。(だって、「真正確認」ボタンをクリックしたら「役所の営業時間内につなぎ直してください」なんて、メッセージが出たら、シャレにならないし。システムとして成立以前の問題。問題外の外の外(「外」の回数、奇数回ですからね!))

さて、普通は、詐欺を働く人だってコストパフォーマンスを考えるはずだから、私も「悪知恵」だけは働く一人として考えると、この仕組みだけでも、ある程度は「身分詐称」をブロックできるとは思うけれど、こうなると、身分詐称で悪事を働こうとして、「有名な会社」になりすました「アカウント」を販売するブラックなビジネスも成立するかな、と思った。
例えば STARTO ENTERTAINMENT の名称で法人登記する。特許庁の「商標登録」のようなものだと、既に存在している「有名な」会社名は登録できないけれど、法人登記ならば、同名の会社であっても市区町村が別なら登記できる(細かいところは、間違っていたらごめんなさい)と私は理解している。「株式会社佐藤商店」なんて、日本全国にいくらだって登記できるはずだし。ルールはシンプルだから、同じ市町村でなければ STARTO ENTERTAINMENTという名称の法人は登記できる。住所は私の住所。この法人の実在証明は、たぶん、東京商工リサーチさんに頼むと出してもらえる。この辺は、法務省に登記できた時点で、東京商工リサーチさんの責任ではなくなると思う。

そうなると、その会社の「実在証明」とは別の仕組みを考えないと、ブロックしきれない。となると、「発信元認証局」が何をすべきか、ということになるんだろうか。おそらく特許庁の「商標登録審査」と似た様なプロセスで、「類似の法人がないか」のチェックをすることになるのかも知れない。

非常に、ざっくりとしたアイディアの展開で申し訳ないけれど、おそらく、会社として本気でビジネスを展開し、その結果として「詐欺の標的」になるような会社の場合、「商標登録」などは行なっていると思う。だったら、「発信元認証登録」の際に、法人の場合には「商標登録」を要求しても、実質的に問題はないんじゃないかと、思った。おそらく、STARTO ENTERTAINMENT も出ているだろうと思って、ググったら、出てきた。

https://news.yahoo.co.jp/expert/articles/9c8d76556c6e46e426204a71319f9fcf4ade1c0c
STARTO ENTERTAINMENT 正しく商標登録出願

この「商標登録」の連絡先住所に、「発信元認証確認」で、「この登録申請は、あなたですか?」の郵便を送れば、偽の「発信元認証登録」はブロックできる、と思った。

フィッシングサイトの実例としては、まだ考えるべき項目はある。例えば、
STARTO ENTERTA1NMENT
START0 ENTERTAINMENT
も、ぱっと見、STARTO ENTERTAINMENTに見える。片方はI(アイ)を1(数字のイチ)に、片方はO(オー)を0(数字のゼロ)に書き換えているけれど、これで登録されちゃったら、どうするか、ってな話もあるかも知れない。よくあるのは
microsoft
rnicrosoft
amazon
arnazon
で、m(エム)をrn(アール・エヌ)で置き換えたURLとか、そういう詐欺で、案外AIに学習させるとこういうのを効率的に「このサイトは詐欺サイトです」と表示できたりするかも知れないけれど、最終的にはやっぱり「人手」に頼って、一件一件チェックしてもらうしかないのかも知れない。
思うに、この「発信元認証」が何万円かの「有料サービス」だったとしても、前澤氏とかSTARTO ENTERTAIBNMENTなんかにとっては、問題のない金額じゃないかな、という気がする。
ざっくり書けば、私の身分を詐称したって、誰も見向きもしませんしね。

加えて言えば、ネットサービスではオンライン決済が必要な場合は「住所表記」が必須とされているけれども、存在しない住所だとか、どこかの空き家の住所とかが表示されている「詐欺サイト」が少なくない、と、私は理解している。これは、「発信元認証」に「市区町村」などを巻き込んで、役所の職員の方に住所確認をしてもらうプロセスを加える必要性を意味しているかも知れない。
例えば、私が「空き家」の住所を指定してオンライン販売のサイトを立てたとする。「真正確認」で「住所未確認です。」のメッセージが出るのはヤバい、としたら、「発信元認証」の一環として、役所の職員が私が届け出た住所が「実在して会社があるか」を、実見する。その手数料として、でかい街だと役場からの往復が2時間とかかかるところもあるかも知れないけれど(北海道とか)、仮に平均的に1時間として、上乗せして、その市区町村での「実見確認」のコストを、その市区町村に「手数料」として支払えるように、「発信元認証」の手数料を設定する。ということは、市区町村に「住所と居住者の実態確認」の「手数料」を設定できるような、行政サービスの「機能」を一つ加える、ということになるだろうか。市区町村だって、(秋田県のどこかじゃないけれど、案外みんな「貧乏」ですからね。「有料サービス」が増えるのは、案外歓迎されるんじゃない?

いずれにせよ、この「発信元認証」が無料で実現するのは難しいと思うけれど、有料サービスのメカニズムとして、詐欺とか犯罪とかを防ぐために、ぜひ実現して欲しい気がした。

では、ユースケースと、その抜け穴についてはとりあえず考えたとして、技術的にはどうなのか?
いや、HTTPSと同じく、公開暗号鍵に登録情報をリンクさせた形でいいんじゃないのかな?と思ったけれども、将来的な発展系を考えたなら、NFTのような仕組み(まだ勉強中)を活用してもいいかも知れないし。

私個人の考えとしては、こういうのは、公的機関がサービスとして提供するべき部分だと思う。個人情報に深入りする必要があるし、市区町村が登録住所の実在性を確認する方が、現実的に思えた、のだけれども、日本の場合には、特に法人の「ネット上での実在証明」には法務省がほぼ役に立たない。
個人的な好みの問題で書いているけれど、例えば、東京商工リサーチだとか、さくらインターネットだとか、民間のインターネットビジネス、法人の信用情報サービスだとかに「主導権」を渡して、ぜひ、制度化というか、「新しい行政プロトコル」の確立をして欲しい気がする。

ラフスケッチなので、詳細は詰めていないけれど、お金になるなら、無論細かいところを調べて概略の設計、詳細設計へ進めることはできるつもりでいます(笑)。ただもぉ、話がデカすぎて、特に、役所が本気で「問題点」を考えてくれないと実現しようがないし、どうせ書いてもシカトされるとか、スルーされるとか、かな?とは思うので(ってか、35年前の延長で、どうせ私生活の盗聴盗撮で丸ごと見聞きしてるんなら、部屋の中でボヤいたのと全世界への公表とが同じでしょ、ネットに書いたらそれで十分でしょ?という惰性の延長で、)とりあえず書いてみただけ。
ただ、直感的に思う。いずれ、この類の被害は、国内だけで「兆」の単位に届く。それが、どこぞのミサイル開発の費用になる。対策のやり方など、いくらだってあると思うのに。
とりあえず、このページ、まるパクリされても、むしろ「良かった、意見が届いた」かな?何を書いても、バカにされるだけ、よりは、むしろ、パクってもらったほうが嬉しい。いや、実際、エンジニアとしてはシステム設計とかやれるならやってみたいけれど、、、。

以上。(過去、20ページくらい、ほとんど読み返しをしていません。誤植その他は、ご容赦。)

この記事が気に入ったらサポートをしてみませんか?