皆さんは、もし使っている自身のメールサーバーに対して他人が不正にアクセスしている可能性があると感じたらどうなさいます?パスワードを変更する事は言うまでもありませんが、先ずはアクセスの履歴を取り寄せて自分がアクセスしていない時間にアクセスがあったかどうかを確認するでしょう。しかし、そのアクセス履歴の開示をプロバイダーが拒否したとしたどうします?不正アクセスが本当にあったのかどうか確認も出来ません。これではクラッカーが野放しです。実際に遭遇してしまってからでは遅すぎますので、注意を喚起したいと思います。
私はGooにこのアクセス履歴の開示を拒否されてしまいました。たとえ本人であっても、法律で禁止されていると主張していますが、どの法律のどの項目に該当するのか尋ねても明確な回答はなく、同じ主張を繰り返すだけなので、このままでは埒があかないと考え、担当者と連絡先を尋ねると、ついには回答すら来なくなってしまいました。こんなプロバイダーが'信頼の300万人'とか広告をしているから本当に恐いなあと思います。Gooのフリーメールをお使いの方は、このことを良く理解していただいて継続して使うのか、他のプロバイダーに切り替えるのかを判断していただければと思います。明日は我が身ですから...。
[経緯]
3月の終わり頃、帰宅してからgooのフリーメールのメールチェックをしようと思いログオンすると新着メールの数が2件しかありません。普段ならスパーム等も含めて10件以上は毎日届いています。サーバーが故障でもしているのかなと思い受信箱を開けてみるといつも通り10数件のメールが届いていました。前回メールチェックをしたのは前日の同じ頃です。メールチェック中に新規のメールが10件以上も届いてはいませんから、不正アクセスの可能性を考えるのは当然です。早速パスワードを変更してgooにアクセス履歴の送付を依頼しました。
数日待たされて返ってきた回答は驚くべきものでした。前後の挨拶文だけ省略しています。
---
さて、お問い合わせいただいておりますフリーメールについてですが、
誠に申し訳ございませんが、ご本人様のアカウントであっても、
アクセスログを開示することは、法律的にできません。
開示できるのは法的機関からの捜査要請がある場合に限られます。
どうぞご理解賜りますようお願いいたします。
従いまして、直接所轄の警察にご相談されることをお勧め致します。
その手続きにつきましても方法を含めて管轄の警察にご確認ください。
---
法律で禁止されているとは思いもよらず、いくらおかしな事はあっても法律で利用者のアクセス履歴の開示を禁止しているとは思えません。疑問を持ちつつも警察に向かいます。
警察では、平日の昼間しか扱っていないとかでわざわざ休みを取って相談に行きました。担当の人は詳しくないので、IT専門の方と電話で話しをさせてもらいました。やはりそんな法律はないとの事。その方は実際にアクセス履歴はプロバイダーから送ってもらっているとの事でした。'やはり'と思いました。IPアドレスは各プロバイダーの規約で開示できない可能性もあるので、日時の情報だけ送ってもらうように依頼すれば良いとアドバイスをいただきました。担当の方は、NTT(gooはNTT-Xなる会社がやっている)は電話のトラブルなんかも全て責任逃れをして警察、警察と責任を転嫁しているとかなりぼやいておられました。担当の連絡先が判れば今から電話してやるのにともおっしゃっておられました。これまでに何度もNTTにはひどい目にあったようです。ともかく上記のアドバイス通り、
・警察で聞いた話
・アクセス履歴は日時の情報のみを送ってもらう事を依頼
・禁止されているという法律がどの法律のどの項目であるのかの質問
・不正アクセスに対してgooはどのように考えているのか?
ということを書いて再度メールを送りました。その答えは呆れ果てた内容でした。
---
さて、お問い合わせを頂きましたアクセスログの開示に関してでございますが、
憲法及び電気通信事業法に基づき保護されております、
「通信の秘密」により本人様のアカウントであっても、
前回もご連絡させていただきましたとおり、アクセスログを開示することは、
いたしかねます。
何卒ご理解を頂きますようお願いいたします。
なお、繰り返しになり、大変恐縮ではございますが、
開示に関しましては、法的機関からの捜査要請がある場合、もしくは、
緊急避難に該当するようなケースにより、裁判所の差押令状により、
対応をすることはございますので管轄の警察等にご連絡いただき
ご相談いただくことをお勧めいたします。
---
最後の質問には答えてもいません。禁止されているという法律も極めてあいまいです。しかも、警察に相談した結果であるにもかかわらずの対応です。これでgooの本性が見えたと思いました。これでは埒があかないので担当者の名前を聞く事にしました。その事を告げると、その後は一切の回答がありません。催促をしても何も反応がありません。担当者の名前が答えられないという事は、このような対応に対して責任が取れないと言っているに他ならないでしょう。こんなgooっていったい...。
[セキュリティに注意を払っている?]
今度は、Goo Mailが急に使えなくなったというお話です。夏休みのある日、昼間Loginできたのに夜になるとLoginできなくなってしまいました。また誰かにHackされたのか気になり問い合わせます。しかし、結果はまたしても鋼のようなフレキシビリティの無い対応でした。私の方の問題は、登録データの変更を行っていなかった事。電話番号が古いままであったのと、連絡用E-MailアドレスがGooのアドレスのままでありました。Passwordの問い合わせで「本人性」の確認はできているのに、上記の問題があるので、変更できないとの事でした。電話もメールもだめなら郵便で送ってくれと依頼すると、「そんなことはやっていない」との返事。さすがにNTTです。Passwordが変更されたかもしれないという件も判らず、この事件の少し前に起きたCard番号の盗用の件も併せて考えると、Hackingされた可能性を否定することはできません。セキュリティを盾にとっていても、実際Hackingされた可能性があっても存在しない法律を盾にとって情報も開示しないでは何も解決しません。ご利用の際は十分ご注意ください。Cardの不正使用は二度ありました。Goo Mailにアクセスしなくなってからは不正使用は起きていません。
[こちらも驚きの対応]
---
>2. 上の回答が正しくない場合、どうすればgooに対してログイン履歴の開示を
>させることができるのでしょうか?
おそらく通称「プロバイダー責任法」(正式名称:特定電気通信役務提供者の
損害賠償責任の制限及び発信者情報の開示に関する法律)のことを指しているものと
思われます。
申し訳ありませんが、当協会では、法律の専門家ではございませんので、
法律的な解釈についての的確な判断を致しかねます。警察機関や弁護士、
当該法律の担当省庁である総務省へご確認頂きたく宜しくお願い申し上げます。
>3. 自分以外の者がログインした可能性があると感じられた場合、それを確認するには
> ログイン履歴を観るしかないと思いますが、他に方法はあるのでしょうか?
> あればご教授願います。
Webメールでの出来事ですので、当該Webサーバーの管理者へ確認依頼する以外は
難しいと思われます。
---
情報処理振興事業協会 セキュリティセンター(IPA/ISEC)なる不正アクセスを取り締まる(?)協会にこの事を問い合わせたところ、上記のような情けない回答しかきませんでした。ここはいったい何をやっているのでしょう?毎月届いたメールの件数を数えて発表しているところなのでしょうか?こんなところに税金を投入しているとすればとんでもないことです。IT時代の日本はこれで良いのかますます不安になってきました。