高木浩光先生@HiromitsuTakagiの「「駅探エクスプレス」http://lab.ekitan.com/express/ のUDID送信について確認した。」

Hiromitsu Takagi @HiromitsuTakagi

「虚構新聞」アプリのUDID送信状況について確認した。UDID送信は2系統あり、送信先が *.system.vc のもの（UAが「BraveMafia/1.5」）と、spapi.i-mobile.co.jp のもの（UAが「i-mobile.co.jp」）がある。後者は広告か？

Hiromitsu Takagi @HiromitsuTakagi

system.vc のドメイン所有者は「bravesoft Inc」。ここに送信されるURLパラメータはUDIDの他に、「auth=」と「mac=」があり、「mac」がMACアドレスのMD5値なのか、それともMessage Authentication Codeのことなのか不明。

Hiromitsu Takagi @HiromitsuTakagi

「駅探エクスプレス」http://t.co/NpHIe9l0 のUDID送信について確認した。駅検索、経路探索などの各操作で、URLに「url=XXXXXXXXXXXX…」でUDIDを生送信。全体機能を見渡して判断するに、全く必要性のない送信。送信先はlab.ekitan.com

Hiromitsu Takagi @HiromitsuTakagi

「駅探エクスプレス」で「つくば」を検索したときの例。GET /lab_servlet/TouchEkitanAuthAPI?…LKEY=20120212-…&SF=%A4%C4%A4%AF%A4%D0&uid=XXXXXX… UDIDと「つくば」の文字列がSSLなしで送信される。

Hiromitsu Takagi @HiromitsuTakagi

訂正： 誤：URLに「url=…」でUDIDを生送信 正：URLに「uid=…」でUDIDを生送信 https://t.co/cyCIVd1D

Hiromitsu Takagi @HiromitsuTakagi

週刊ダイヤモンド2/11号「特集2 スマホで個人情報が丸裸 奪われるプライバシー」（全8ページ）は、かなりの多方面への取材を元にした稀に見る力作記事。私もp.120でコメント：「事業者は、利用者が誤解したまま利用規約に同意することがないように心がけるべきだ」

Hiromitsu Takagi @HiromitsuTakagi

p.119には、「これまでは自らが外のお店（ウェブサイト）を訪ねており、その店員に顔を覚えられて広告を渡されていた。それがスマホになると、自ら家の中に招き入れた業者（アプリ）が室内を勝手にのぞき監視カメラも付けているようなもので、…新たな問題を招いているのだ。」とある。

Hiromitsu Takagi @HiromitsuTakagi

iOSアプリ「Amazonモバイル」は、世界8か国のAmazonサイトを使えるようになっているが、国を切り替えてもHTTPのUser-Agent:が「AmazonJP/1.8.0」のままであることから、開発元は日本のどこかの会社ではないかと推察されるが、どこだろうか？

Hiromitsu Takagi @HiromitsuTakagi

と思ったが、そうでもないかな。

Hiromitsu Takagi @HiromitsuTakagi

もう一度書く。https://t.co/UwVWVvCt にて、畑山聡教授（刑法学）曰く「facebookは、顔や名前の公開を条件に参加できるはずなのに、〓〓〓〓さんは何故、顔（ご自分の顔）や名前（本名ですか？）などの基本情報を公開しないのは無責任社会そのものではありませんか。…

Hiromitsu Takagi @HiromitsuTakagi

（続き）…基本情報を公開しないのは無責任社会そのものではありませんか。事実上の匿名投稿だと思います。」 それに続けて、樋渡啓祐武雄市長曰く「畑山さん、そのとおりですね。さすがです。」 以上、https://t.co/UwVWVvCt より。

Hiromitsu Takagi @HiromitsuTakagi

日清食品の「あつめて！どん兵衛」https://t.co/L0XxNznW の要求するパーミッションが不審だという話（Bluetooth、位置情報、IMEI等）があったので試してみた。アプリ自体にBluetoothを使う機能は見当たらない。（続く）

Hiromitsu Takagi @HiromitsuTakagi

（続き）初回起動時にこの画面が出る。ソーシャルゲームプラットフォーム「PANKIA」http://t.co/N6vLVzK1 が組み込まれており、この同意確認画面で「IPアドレスなどの情報を利用します」と出るが、IPアドレスというのは嘘。 http://t.co/m2gFnt9V

Hiromitsu Takagi @HiromitsuTakagi

使用しているのはIPアドレスではなくIMEI（端末識別番号）だろう。こういう嘘をやめさせたい。「ユーザ体験の向上のために」というのも嘘で、本当はユーザ識別のため。なぜ嘘を書く必要があるの？ 嘘を示して「同意する」を押させるのは許されない。 http://t.co/1d5sdY7T

拡大

Hiromitsu Takagi @HiromitsuTakagi

「IMEIと言っても利用者にわからないから『IPアドレスなど』と書くしかない」などという釈明が考えられるが、IPアドレスは（動的に変わるため）プライバシー性が（不変なIMEIと違って）低いという社会的コンセンサス（個々の素人が理解しているかは別として）があって、それに便乗して…

Hiromitsu Takagi @HiromitsuTakagi

…それに便乗して、取得する情報のプライバシー性を実際（IMEIのそれ）より低く誤解させる（「IPアドレスくらいなら普通だよね」という誤解）ものであり、欺瞞的行為である。

Hiromitsu Takagi @HiromitsuTakagi

開発者向け文書 http://t.co/Awl3V9t9 に「Pankiaでは端末とPankiaアカウントを紐付ける為、端末IMEIを使用しています。端末IMEIを取得する為このPermissionを使用します」とある。どん兵衛の同意画面を出したのは、SDK使用者である開発者？

Hiromitsu Takagi @HiromitsuTakagi

それとも、Pankia SDK自体があの同意画面を出しているのか？

Hiromitsu Takagi @HiromitsuTakagi

iOS版の「あつめて！どん兵衛」を試してみた。同様に、初回起動時にPankiaの同意確認画面が出て、「ユーザ体験の向上」「IPアドレスなどの情報」と書かれている。ロゴ使用の様子からして、Pankia SDK自身がこの文を出しているのでは？ http://t.co/94lZQ4M0

拡大

Hiromitsu Takagi @HiromitsuTakagi

iOS版では予想通りUDIDを使用しているのを確認した。しかも、先の「…などの情報を利用します。同意する場合は…」の同意確認画面で「同意する」ボタンを押す前に送信されている。いったい何の同意？（画像は「同意する」を押す前までの通信内容。） http://t.co/fXi1NbhY

拡大

Hiromitsu Takagi @HiromitsuTakagi

しかも、「session/create?…」でUDIDを送信してsessionなるものを得て、次以降のアクセスでは「?sesison=…」と、セッションIDのつもりらしき文字列を送信しているが、これが英字6字と極端に短く、セッションIDの体をなしていない。 あまりに技術力が低い。

Hiromitsu Takagi @HiromitsuTakagi

交通系電子マネーだけはこういうことをやらないようだと思っていたのに、とうとうやるのか。総務省の「通信の秘密」のように、国交省の「乗車履歴の秘密」という概念はないのか？ http://t.co/NSvbcsbD 「スイカからリピーターの利用状況を収集」

Hiromitsu Takagi @HiromitsuTakagi

http://t.co/NSvbcsbD の2ページ目「スイカ…「iDi」と呼ぶ固有番号…単なる番号だが、ポイントサービス「Suicaポイントクラブ」の約100万人の登録者については、氏名や詳細な住所などの個人情報は利用しないものの、郵便番号と性別、年齢の3属性を取得している。」

Hiromitsu Takagi @HiromitsuTakagi

ポイントクラブに自ら登録している人が対象ならまあいいわけだが、続く文に「一方で、まだ約5割いる現金決済の顧客の性別・年代を把握できるようにして…空白を埋める役割を担うのが次世代自販機」とある。カメラ付き自販機の撮影画像による推測のことだろうが、推測結果をカード番号に紐付けるのか？

Hiromitsu Takagi @HiromitsuTakagi

気になる人は問い合わせましょう。 RT @dark__mafia どこからどこまで電車やバス等に乗車し、どこで何に対して支払いをしたことが全てわかるということですかこれ・・