しばらく後そのサイトからメルマガが届きました。
URLが記載されており、URLをクリックすると過去に入力した「個人情報」が見れるようになっていました。
URLワンクリックです。
メール転送などでURLが知られれば他人が「個人情報」まで到達できます。
URLの有効期限はないようです。
URLの引数は、ID・PASSが推測されるようなものではないです。
メルマガにはメールを転送するな等、注意を喚起する文章が記載されています。
**
1クリックで個人情報が閲覧できるページにアクセスできるURLをメールに記載することを「OK」とするか「NG」とするか、またその根拠について、皆さんの意見をお伺いしたいです。
私はNG(URLに期限をつけるなら微妙にOK)
ワンクリックでログインできるURLは便利なので、NGの方は、残すにはどういう機能や喚起をすればいいかなどのお考えも記載いただけるとうれしいです。
(楽天で検索エンジンにメールマガジン解除用URLがキャッシュされたことがありましたが、まさにそれと同じ感じ)
そのサイトが日本国内にあり、5千人分以上の個人情報を保有しているのであれば、個人情報保護法の観点からNGです。
インターネット上に個人情報が公開されたと同じ状態になりますので、その個人が自分の個人情報をコントロールできなくなり、個人情報保護法の主旨に反するためです。
ワンクリックでログインできるURLは便利
申し訳ありませんが、どうしてそうお感じになるのか理解しかねます。
ワンクリックで入れると言うことは本人認証をしていませんので、ログインとは呼べません。
個人情報がURLを知れば誰でもアクセスできるところに公開されていることと
個人情報がID・PASSを知れば誰でもアクセスできるところに公開されていること
の何が違うのかわからなくなってしまいました。
ログインが本人認証であることを思い出してください。
ID・パスワードの組み合わせの場合、IDは公開されていますが(サイト運営者や他の会員はIDを知ることができます)、パスワードはユーザー本人の記憶の中にだけあるものです(パスワードを紙にメモしたりしていないことが大前提)。何人も他人に記憶を覗くことはできないので、これによって本人であることが認証されます。(サイト運営者はパスワードを一方通行の暗号化で管理しなければなりません)
一方、URLのみでアクセスできるものは本人認証とは呼べません。
URLはインターネット上に公開されている情報ですので、偶然にも合致するURLを入力した場合にはアクセスできてしまうからです。
では、パスワードに比べて十分に長く、ランダムな英数字で構成されたURLならば本人認証になるかというと、これも違います。
一般論として、ID・パスワード入力画面はSSL暗号化されていますので、通信を傍受してパスワードを知ることはほぼ不可能です。
これに対してURLは常に平文(暗号化されていない)でやり取りされるので、通信を傍受すればどんなに長いURLでも盗聴できてしまいます。
以上のような理由から、URLによるログインは、ログインとしての要件を満たしていないと考えます。
残すにはどういう機能や喚起をすればいいか
パスワードを忘れた場合等に行われる方法を参考にすれば良いと思います。
クッキーをわたすタイミングは個人情報を入力したときが良いでしょう。
この時セッションをはり、メール記載のURLにあるキーとセットで個人情報へのアクセスを許可します。
セッションキーが漏れなければアクセス出来ません。
セッションが切れた場合はメールアドレスの入力を促し、登録されていたらセッションを張り直し、メールを再度送ります。
URLは有効期限を決めておきます。また、一度アクセスがあったら無効にします。
URLのキーとセッションのキーで認証し、認証に成功したらセッションを張り直し通常のページにリダイレクトし、メールで送ったURLは無効にし、新しいURLを送ります。
こんな所でどうでしょう?
> 1クリックで個人情報が閲覧できるページにアクセスできるURLをメールに記載することを「OK」とするか「NG」とするか、またその根拠について、皆さんの意見をお伺いしたいです。
NGです。
まず,電子メールの特性について。
いわゆる電子メールは,インターネット上において平文の状態で転送されます。
今回の場合,問題のメールは,メルマガ事業者のサーバー,プロバイダのメールサーバー,受信者の間で転送されます。この経路が誰にも監視・盗聴されないような環境であるかというのが一つ。
また,電子メールの転送プロセスには,DNSなどの他のシステムも使用します。これについても信頼できるような環境であるかどうか確認の必要があるかと思います。
私は,インターネットというものが,社会的に見てそれ程にセキュアな環境であるとは考えていません。極端な話,インターネットが絶対に安全であるならば,SSLや公開鍵認証なんて仕組みは必要ありません(これらの仕組みも”絶対に安全”とは言えませんが)。
次に,URLを個人の認証手段として用いる事が適切であるかどうかという点について。
URL(Uniform Resource Locator), URI(Uniform Resource Identifier)は,インターネット上に存在する各種情報資源を,統一された識別子によって表現する仕組みです。
要するに,URLは「情報の住所」を表現する手段として考案されたものであって,ブラウザやメーラーの開発者は,個人の認証手段にURLを用いるような前提での開発を行っていません。
ブラウザや,ブラウザにインストールされているプラグインの一部には,利用者の閲覧傾向を(匿名的に)開発元等に送るようなものが存在します。これらがどこに通知されているのかを全て把握できるような状況ならともかく,そもそも個人情報ですらない(という扱いである)ような状態で,どこからか個人情報が流れてしまう可能性も否定出来ません(URLが流れてるのも十分に気持ち悪い状態ですが)。
> ワンクリックでログインできるURLは便利なので、NGの方は、残すにはどういう機能や喚起をすればいいかなどのお考えも記載いただけるとうれしいです。
Cookieでセッションを保持させる他,電子メールにはログインURL(+ユーザID)のみを掲載しておき,利用者にはブラウザの認証管理プラグインを併用させるのが一番無難かなぁという印象です。
> 私はNG(URLに期限をつけるなら微妙にOK)
> ワンクリックでログインできるURLは便利なので、NGの方は、残すには
> どういう機能や喚起をすればいいかなどのお考えも記載いただけると
> うれしいです。
まず、平文メールで通知してきた時点で誰が収集しているかわかりません。
メールも含めてインターネット上で通信する内容は複数のネットワークを経由して相手に届きます。間には数十のルータが入っている事が普通です。
平文で流れたメールの内容はその全ての経路でパケットを覗き見されて漏れる可能性(危険性)があります。
つまり、受け取った時点で既に他者へ漏れている危険があるわけです。
※どのサイトも正規の管理者以外に不正に管理者権限を取得して情報を得ている者がいないとは限りませんし。
他の回答者さんからウェブページならSSL/TLS使ってという話がありましたが、メールでも同じような技術はありますし利用する事ができます。
※PGP・GPGやS/MIMEなど。
『残すにはどういう機能や喚起を』私の感覚では平文で非暗号経路のネットワークを流した時点でそんなの公表されている扱いです。
登録ページ・登録完了ページは暗号化通信で、登録完了ページにURLを付けるなら少なくとも平文でネットワークを流れて通った経路の全てで盗聴の可能性がある状態ではなくなります。
※SSL/TLSでもサーバ上にある暗号化キーに使うデータが漏れていれば暗号化パケットから内容が漏れるのですけどね。相手のサーバのセキュリティも低い様だと守れる訳がないのです。
※期限を付けるのは逆に恐い気もします。変える場面で操作を見られる/キーロガーで漏れる等のリスクもありますし。逆に十分な強度を持ったパスワードなら期限を設けなくても危険は少ない気もします。鍵の話で複数の鍵を掛けると門前払いできる可能性があるというのと同じで。最初の数分で破れなければ諦める面もあります。10年解析を続けないと破れない鍵を破ろうと何年も解析作業を続けると思いますか。大した情報が得られるわけでもないのに。
コメントありがとうございます。
個人情報がURLを知れば誰でもアクセスできるところに公開されていることと
個人情報がID・PASSを知れば誰でもアクセスできるところに公開されていること
の何が違うのかわからなくなってしまいました。
感覚的に、前者は危険ではあるなと思いますが。
サイトの人に個人情報保護法案の何条にひっかかると伝えればいいのでしょうか。