あるIPアドレスを入手したとして、この情報だけで利用者を特定することはできるだろうか。技術的には無理である。IPアドレスから利用者を特定するためには、実際には様々な情報を組み合わせ、方々に問い合わせをしていかなければならない。
まずIPアドレスがどのようなものかを整理しよう。アクセス元のユーザが、スマホのような端末でアクセス先のサービス(たとえばSNSのサービスを提供しているサーバ)にアクセスするということは、下図のような状況を意味している。インターネットを利用するということは、インターネットの回線を介してデータをやり取りするということであり、アクセス元にデータを届けるためにはIPアドレスを頼りにする。したがってアクセス先のサーバはIPアドレスを記録し、正しく返信しなければならない。少なくとも通信を行っている間は、IPアドレスを保持していなければならない。
アクセス元のIPアドレスを決定しているのは誰だろうか。それはアクセス元にインターネットアクセスサービスを提供しているアクセスプロバイダ、ISPだ。現代ではほとんどの場合、電話会社である。もちろん例外は多数あるが話が長くなってしまうので、電話会社の例で説明を続ける。
どうやって個人を特定するのか
さてIPアドレスを使ってアクセス元の個人を特定しようとする場合、どうすればよいだろうか。IPアドレスを決定したのはアクセスプロバイダだと述べた。なので「xx.xx.xx.xxというIPアドレスを利用したのは誰か?」という問い合わせをアクセスプロバイダに行えば、特定できるということになる。だが、それでアクセスプロバイダは特定できるかというと、必ずしもそうではない。なぜならば、IPアドレスは使いまわされる可能性があり、一定の時間が過ぎてしまうと、同じIPアドレスが別人に割り当てられることもあるからだ。
たとえばスマホをもって電車に乗っていることを考えてみてほしい。ある地域から別の地域に移動し、それにつれてスマホがつかんでいた基地局も切り替わったとしよう。そうすれば回線も切り替わり、IPアドレスも変わってしまう。そして、別の人が基地局に入ってきたとしよう。すると空いたIPアドレスがその人に割り当てられる。こうしてIPアドレスは使いまわされる。そういうことが頻繁に起こるのだ。
したがってアクセスプロバイダに問い合わせるには、正確な時刻も併せて行う必要がある。上記の通り移動体のことを考えると、秒単位まで正確でなければならない。幸い、インターネットサービスでは秒単位の正確な記録が残っている可能性が高く、問い合わせるためには問題にならないことが多い。アクセスプロバイダは「どこの・だれに・どのような形で・どんなIPアドレスを割り当てたか」を比較的正確に記録しているので、時刻さえ明確であれば正確に特定できる。さもないと料金を正確に請求できないからだ。
……とはいえ、もちろんアクセスプロバイダやデータセンターにあるアクセス先のサービスが、問い合わせをしただけで簡単に答えてくれるわけではない。プロバイダは理由もなく利用者のプライバシーを侵害することはない。プロバイダは責任があるため詳細な記録を保持してはいるが、裁判を起こして開示命令を受けない限り、易々とは問い合わせに答えてくれないようになっている。これにまつわる諸問題については議論しないが、興味のある方はすでにご存じの話題だと思う。
同じIPアドレスならば同一人物なのか
同じIPアドレスならば同一人物なのだろうか。これを断言するには、多くの情報収集と多数の問い合わせをしなければならない。上述の通り、そんな問い合わせに答えてくれる事業者はいない。したがって憶測するしかなくなるが、単なる憶測だけで言い切るのは誰にもできないはずだ。
スマホでは、移動に連れてIPアドレスが変化するということはすでに述べた。自宅の固定回線においてもIPアドレスは変化する。昔、個人宅でおかしなサーバを立てるのが流行した頃、それを阻止するために固定IPアドレスを付与しないことがスタンダードになり、一定時間でIPアドレスを変えるようになったためだ(固定IPアドレスの付与は有償サービスになっていることが多い)。このため同じIPアドレスであっても、別時刻には別人に割り当てられている、ということは大いにあり得る。ただしこの自由度はそれほど大きくない。同じセグメント内とか、同じ地域内とか、インターネット的に近い距離にいることは特定されうるので、プライバシー的にはまずい事態ではないかと思う。
ほかにもいろいろ推測はできるが、全部憶測にすぎないのでやめておく。まあ繰り返して言っておきたいのは、同じIPアドレスならば同一人物だと断定するのは無理で、より多くの情報をもって多方面に問い合わせるしかないということだ。
同じIPアドレスのアクセスを他人であると証明できるか
偶然同じIPアドレスになってしまったアクセス記録を、他人であると証明することはできるだろうか。本来このような否定証明をする必要はないはずだが、そうしないといけない状況というのはあり得るので、ちょっと考えてみたい。
あるアクセス記録が移動体からのものであったら、それはIPアドレスが使いまわされたのだと言うのはごく簡単なことだ。事実として、これは本当にしょっちゅう起こっていることだからだ。自宅のアクセスについても、どの程度の頻度でIPアドレスが変化しているかを調べ、都合のよい範囲で開示できれば、一定の証明になる。ただ不利な証拠になる可能性もあるので、よく調べてからにした方がよい。ちなみに自分は固定IPアドレスサービスを使っているため、最近のISPがどの程度のサイズのサブネットを使い、どの程度のlease timeを設定しているのか全然分からないので考察できない。
他人のアクセスと証明するために、他人のIPアドレスから個人情報を開示するよう裁判を起こすという能動的な方法も考えられるが、このケースで裁判が成り立つのか、ちょっと自信がない。その他人が、自分に対して害を成していると証明できないといけないが、そのようなケースであると思えないからだ。まあ自分は法律はシロウトだし、本稿の趣旨ではないので議論はここまでにしたい。
インターネットにプライバシーはあり得るか
どこの誰がアクセスしたのかを隠しつつ、何かの主張をインターネット上に書くことはできるだろうか?
上述の通り、あまり防護策を立てずにインターネットにアクセスすると、ごく普通に記録が残る。アクセスプロバイダとアクセス先の記録はほぼ確実に、半永久的に残るので、これを隠すことは無理だと思うべきだ。なので最初からそう言う幻想は抱かない方がよい。
日本のハッキングシーンを見ていて感じるのは(とはいえ自分の観測範囲は大して広くないが)、あまりproxyとかVPNサービスが出てこないということだ。何か工作するのなら、proxyぐらいすればいいのにと思うのだがどうなのだろう。
proxyとはアクセス元のIPアドレスを隠蔽するために、パケットを中継してアドレスを書き換えるアクセスサービスのことだ。アクセス先はデータをproxyに返すので、proxyは返ってきたデータをアクセス元に返す。これによってデータ通信が成り立つ。VPNサービスはproxyに暗号化を付与したもので、セキュリティを付加価値にしている。
proxyは一見素晴らしいソリューションに見えるが、proxyの信頼性に頼っている点を見落としてはいけない。proxyは「xx.xx.xx.xxとyy.yy.yy.yyを対応付けた」という情報を持っており、問い合わせを受ければこれに回答する可能性がある。proxyやVPNをサービスしている事業体は多数あり、中にはプライバシー重視を謳っているサービスも多いが、当局の捜査に対して顧客情報を開示しているサービスもまた多数あり、多くのアクセス元が探知されているのも事実だ。だが、全く何もやらないよりはまだマシじゃないかと思う。少なくともIPアドレスのスクランブルはできるからだ。
さて、本当に記録を取らないproxyはあり得ないのか?
そういう話は別のサイトにお任せしたい。