gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

諸行無常あるいは照顧脚下あるいは「常識を高々と上げる」以下略について

きっかけはUDID関連の話。
…そろそろ「こて〜あいでぃ〜まんせ〜」なガラジニアは駆逐されたんじゃんかろうか、と思いきや、なんのなんの。
正調ヘケマケ語でいうところの「ところがどっこい 生きている」ってやつですね。


ちなみに、先に「面白い」Blogを見つけたので、ちょろり。
http://iphone2010newbie.blog41.fc2.com/blog-entry-179.html

いわゆるガラケーには「個体識別番号」というものがあり、ブラウザから送信することでセキュリティの高いサイトやサービスの認証に使われていたりするわけですが、iPhoneにはこれと全く同じものはありません。

「セキュリティの高いサイトやサービスの認証に使われていたりするわけですが」
「セキュリティの高いサイトやサービスの認証」
「セキュリティの高いサイトやサービスの認証」


…一瞬、ナニが書いてあるのか、理解不能でした。

Author:iPhoneNewbie
スマートフォンをメインケータイにしている40歳のパパ。
Geek過ぎず、適度な情報ライフを意識しています。

とのことなので。
是非「Geek的な領域」の話は控えられたほうがいいんじゃないかなぁ、とか思ってみたりみなかったり。


で、本題。
一時期、一部でえらいことにぎにぎしてたように見える「虚構新聞さんのアプリがUDID射出しちゃってるよ」問題。


…あぁ、先に。「発注責任」という単語が理解できないわけではないのですが、基本的には、虚構新聞さん側は「被害者」だと思ってます。


そのアプリを作っている「株式会社ブレイブソフト」さんのPageの内容が、大変に「示唆に富む」内容だったので、ちぃと取り上げてみようかと。
おいちゃんが興味を持ったのをピックアップして、軽く考察を。
http://www.bravesoft.co.jp/news/info_detail.html


まずは、これ。

■これまでのUDIDの扱いについて

ユーザ様より取得したUDIDについて、
個人属性の特定や個人情報保護法における個人情報の
データベース化、およびデータの商業的な使用などは、
一切行っておりません。

また、今後もUDIDをマーケティングや個人特定のために、
ユーザ様の事前許諾無くUDIDを取得することはありません。

(また、そもそも実際に当社が取得してた情報だけでは、個人を特定することはできません。)

ん…ず〜っとず〜っと言われていることだと思うんだけど。
「そもそも実際に当社が取得してた情報だけでは、個人を特定することはできません」については「1社単体の情報じゃなくて、複数社の情報の串刺しが怖い」っていう話があったと思うんだけどなぁ、と。
なんか「印象操作」ないし「見苦しい言い訳」にしか見えない。
或いはもうちょっと根本的に「問題の本質を理解していない」か「問題の本質から議論をそらそうとしている」か。
「固有ID」がもつ本質的な問題は、ここのサイトがものっそ丁寧で分かりやすいので、お勧め。


固有IDのシンプル・シナリオ
http://www.hyuki.com/techinfo/uniqid.html


次。

■UDID取得の是非について

これまで広く利用されてきた携帯電話端末(フィーチャーフォン)では、
ほぼ全ての携帯サイトにおいて、UDIDにあたる端末IDが
事前許諾無く送信される仕様となっていました。
これは、ユーザ認証や半永続的な情報サービス提供のために
必要とされており、業界的な常識となっておりました。

スマートフォンは、業界的なルールが未だ十分に整備されているとは言えず、
当社としてはこれまでの携帯コンテンツ作成の常識に従い
UDIDの取得をスマートフォンアプリにおいて行なっておりましたが、
今回のご批判を受けまして、厳密な個人情報保護の立場から
端末のUDIDの取得は行うべきではないと判断しています。

ポイントは「業界的な常識となっておりました」ってあたり。
ん…まず「その常識がなぜ出来上がって」「その常識は"問題があるやなしや"の検証があって」「メリットとデメリットを比較した場合に、今回の現在の状況と案件において、どちらの側に天秤が傾くのか」を定期的に検証考察情報収集するのは、技術にかかわるものとしては「義務といってもいい」行動じゃないか、って思うのですが。
環境も状況も違う上に、そもそも「携帯においてもなお」契約者固有IDの問題は何年も前からさんざか声高に叫ばれている状態でこの発言をしているあたりに、スキルの低さというか意識の低さを感じてしまうのはおいちゃんだけでしょうか?


あと「これまでの携帯コンテンツ作成の常識に従い」ってあたりに、いわゆる「ガラジニア」がまだ撲滅仕切れていない、憂慮すべき現実が見えたこともまた重要なポイントかと思われます。


最後。

■広告SDKによるUDIDの取得について

現在当社で提供している無料アプリでは、
広告表示のためのSDKが埋めこまれております。
広告表示においては,不正クリック対策のためUDIDを
取得することは一般的となっております。
また、無料アプリでは広告を表示しなければ
アプリを提供するためのサーバ費を維持できないため、
対応について広告会社様と相談しております。
(広告SDKによって取得されたUDIDは、当社へは送信されません。)
(当社としてはUDIDを取得しない形での実現を目指しております。)

なんていうか色々と「なにをかいわんや」。
あぁ念のため。おいちゃんは「行動ターゲティング広告」については原則反対の立場。単純に「自分の諸々を、まともな許可も取らずにはしたない系の連中に握られまくる」とか、めいっぱい嫌なので。
あともうちょっと純粋に「不正クリック」の中身を聞いてみたい気もするなぁ。それが「UUIDv4ではゼッタイに防げず、かつUDIDでは極めて高精度に防げる」ものなのか、どうか。


んと…軽く考察を重ねてみる。
UUIDv4は「アプリのインストールのタイミング」で生成される、って見るのが一番自然だと思う(っていうかそれ以外のタイミングがいまひとつ想像しにくい)。
ってことは「アプリのアンインストール → 再インストール」で、UUIDv4を「違う値にする」ことができるはず。
あとは「アンインストールに伴うデメリット」がどれくらいなのか、次第だと思う。


UDIDはシステム固有なので(良くも悪くも)変更は一切できない…と思いきや、どうもそうではないらしい。
伝聞で恐縮ではあるのだけど。
http://blog.rocaz.net/2011/02/1182.html

JailBreakすればUDIDは簡単に偽装可能であり、例えばUDIDFakerを用いればそもそもアプリごとにランダムなUDIDを割り当てることが可能だからだ。


http://akisute.com/2011/08/udiduiid.html

UDIDの値を返すメソッドの実装を差し替えて、任意の値を返すように出来る。JailBreakしているユーザーであれば誰でも簡単に実行可能、そのためのアプリもCydiaで検索すれば転がっている


http://takagi-hiromitsu.jp/diary/20100619.html

「UDID spoofing」でWeb検索したところ、すぐに「UDID Faker」というアプリが見つかった。これは、jailbreakしたiPhone OS用に配布されているもので、指定したアプリに対してUDIDを差し替えることができる。その仕組みはおそらく、指定のアプリについてAPI呼び出しをフックしてUDIDを差し替えているのだろう。


つまり「JailBreakすれば」という前提条件は付くものの、そこをクリアすると、あとはハードル低いぽい。
すると、興味深いのは「JailBreak」のハードルになるんだけど。…おいちゃんはそゆのを大変に好まないので、一度も手を出したことがないんだけど(そこまでの労力をiPhoneにさきたくない、ってのがより正しい発言 B-p )。
ほんのりとググってみると…「JailBreak手順」「iPhone超初心者のための JailBreak/脱獄 入門」「JailBreak(脱獄)の基礎の基礎」「iPhoneiPadをブラウザからさくっとJailbreak(脱獄)させる」などなど。
ハードルの高低を考えると「低い」んじゃない? って気がする感じの内容が山盛り。


で、もう一度、繰り返してみる。
「簡単に、それこそ"その気になれば誰でも"詐称できるUDIDでは高精度にブロックできて、アプリの再インストール手順が必要なUUIDv4では防げない」不正クリック、って、なに?


この辺を見るに、明らかに「無考察である」か、でなければ「不正クリック、以外の別の目的がある」可能性、ってのを、割と高い確率で想起したりするわけですね。


あぁ一応念のため。
「認証にUDID使ってます」とかいう輩は「七回滅びるべき」忌まわしきモノなので、言及外。


で…ここからが「もう一つ」の本題(なげ〜よ)。


おおむね、この辺に見え隠れしているのは「無考察でなんとなく慣習に従う」図。
前に書いた「サル山のフルボッコ http://d.hatena.ne.jp/gallu/20090403/p4 」を彷彿とさせます。
「常識だから」「みんながやっているから」というお題目を盾に、何も考えずに「無能で勤勉な」お仕事を繰り返す輩についてのおいちゃんの見解は「 「勤勉である」という怠慢 http://d.hatena.ne.jp/gallu/20081114/p1 」をご覧くださいませ。


或いは、ある時間軸、あるエリアにおいては「それでよかった」可能性も、もちろん否定はしません。携帯の契約者固有IDは否定するにしても。
ただ、それが「未来永劫」「全国津々浦々」に通用するかというと、それはまた別。


諸行は常無(な)らず。時間はながれ、宇宙は膨張し、万物は流転するのが世の常でございます。


だからこそ、定期的に「みずからの足元を改めて問いただす」という行為が、おそらくはどんなお仕事においても、必須なんじゃなかろうかっておいちゃんは思うわけです。
というか少なくとも「別業界の常識を無考察に持ってくる」ような状態はイカンだろう、と。


まぁ「過ちて改めざる、これを過ちという」とも言いますし。
過ってしまった現状からどう改めるか、或いは結局改められないのか、なにか色々な分岐点が待っているような気もします。


という考察によいネタだったので、久しぶりに「突っ込み系」エントリーを書いてみました。
「契約者固有IDとかUDIDとかそーゆー愚かな技術が早いこと滅びさること」を祈りつつ。