匿名だからといって他人をあおるな

　筆者が、まだアイティメディアの社員だったころの話です。＠ITというエンジニア向けWebサイトでセキュリティの担当者になったときに最初に行ったのは、それまでに公開されていた記事に目を通すことでした。今でも「不必要情報を出すことは脆弱性である（参照記事）」という考え方がとても心に残っています。

あなたの「不必要情報」は誰かの「必要情報」？

　セキュリティの世界における「不必要情報」とは何でしょうか。例えば、Webサービスに登録しようとしたときに、「そのメールアドレスはすでに登録されています」といったエラーメッセージが出たことはありませんか？　あるいは、ログインしようとしたときに「パスワードが間違っています」と表示されたことは？

　もっと正確に言えば、ログインIDを間違えたときには「ログインIDが存在しません」と表示されるのに、パスワードを間違えたときには「パスワードが間違っています」と表示されるのであれば、それは大きな落とし穴になります。

　なぜなら、エラーメッセージが「そのIDは存在しているよ」とアピールしているから。IDが存在していると分かれば、パスワードは使い回されることが多いのですから、攻撃者はそれを前提とした攻撃を行います。

SNSは基本的に「不必要情報」だらけ？

　先日、ネット界でちょっとしたトラブルが起きました。２ちゃんねるのあるコミュニティを執拗（しつよう）にあおった人がいました。２ちゃんねるのユーザーが、その人の過去数年間のツイートを洗い出し、本名らしき文字列が写った1枚の画面キャプチャを発見し、そこから最終的には本人特定どころか自宅まで把握されたというものです。

　その是非までは本コラムで言及しませんが、ここでのポイントは自ら投稿した写真やスクリーンショットに、まったく意図しなかった情報が入っていたことです。この事件の顛末（てんまつ）を知ったときには、背筋が凍る思いでした——もしかしたら、「自分も意図せずに個人が特定できる情報を公開しているかも」と。

　残念ながら、不必要情報は世の中にあふれかえっています。そのほとんどが、悪意なく、そして自ら発信しているということを覚えておいたほうがよいでしょう。

ネットに匿名性はないし、個人情報は自分が出していると思え

　ネットをよく知るものにとって、もう匿名性などないことは周知の事実です。悪いことをしてしまえば、誰かが調査し、本人特定に至ることは間違いありません（それをかいくぐるためのツールはいくらでもありますが、追跡を困難にするだけのものだと考えています）。これまではIPアドレスやプロバイダ情報など、ネットの仕組みから追いかけることしかイメージしていませんでしたが、いまや一番のヒントは「自らアップした情報」なのでしょう。

　「そこまで調べる暇人はいない」と筆者は思っていました。が、今回のように人の恨みを買ってしまうと、多くの“興味半分”な人的リソースが流れ込み、過去の情報を洗い出す、写真情報からストリートビューを使って場所を把握するという行動が起こり得ます。それこそ被写体の影の角度と、写真データの中にある時間情報から、撮影された方角まで特定するというところまで行われます。正直、ここまでやる人はそういないとは思いますが、事例としては知っておくべきでしょう。

　大前提として、やはりネットでは人をあおる、法を犯す、人を傷付けるような悪意ある投稿はしないことです。人が生きるうえでは、そのようなモラルのない行動こそ「不必要な情報」なのではないかと思っています。