始まり
ある日、岐阜県にある警察署の生活安全課から電話がかかってきた。
曰く、インターネット上のとある事件の捜査のためX(Twitter)に開示請求を行ったところ、当方が運営するWebサービス「ぷらいべったー」のIPアドレスが出てきたため話を聞きたいとのこと。
何故当方の運営するサイトのIPアドレスが出てきたかの推測(後述)を慌てながら説明したところ大体納得してもらえた感じではあるが、調書を作らなければならないため一度うちに来て直接話を聞きたいということになってしまった。
そのときにやったことの備忘録を残しておく。
情報を整理するため、電話の段階での会話内容そのまんままとめていたら無駄に長くなってしまったので別記事にまとめた。
事前準備
警察の人が家に訪ねてくるまでに数日の猶予があったので、以下の準備をした。
- 詐欺ではないか確認
会話の内容からほぼ確実に警察であることは間違いないと確信していたが、なにせこのご時世なので警察を騙った悪人が家に上がり込んで強盗や詐欺を働こうとしている可能性もある。念のため相手の名乗った警察署の名前で検索して当該自治体のホームページを確認してそこに載っている警察署の番号とかかってきた電話番号が同一であることを確認した。なお警察からの電話番号は末尾が0110でも詐欺のことがあるらしいので注意。 - 説明資料の作成
電話で上手く説明出来なかった自信があるため、自分のサービスがどういうものかの説明と、何故ぷらいべったーのIPアドレスが情報開示請求で出てきたのかの推測(後述参照)をA4二枚ぐらいのPagesにまとめて印刷しておいた。 - 友達に同席を頼んだ
一人暮らしの部屋に警察官が来るため、第三者の同席があった方がいいと思ってその日に来られる友人一人と家族一人に同席を頼んだ。 - 部屋を片付けた
散らかり放題の部屋を片付けて人が座れるようにソファの配置換えをした。あと実家から来客用のスリッパを借りてきたりスーパーでペットボトルのお茶を買って用意したりした。
当日編
部屋の片付けおよび資料作りをなんとか終えて準備万端で挑んだため、大体予想通りに終わる。
ひとつだけ予想と違ったのは詐欺とかで警察に訴えた被害者が居て捜査しているのかと思ったら猥褻画像をX(Twitter)に投稿した被疑者がいて確保済みだったということ。
被疑者のX(Twitter)アカウントから当サービスに記録されていたIPアドレスをターミナルからmysql叩いて探して提出したり(うちにはレーザープリンタがあるので印刷して渡した)、自分が契約者であることを照明するためにさくらインターネットの管理画面を開いた状態で警察官の持ってきたデジカメで画面の写真を撮ったりした。画面の写真を撮るときに「画面指さして貰えたら」という指示を勘違いしてカメラに向かってピースサインして立会人の友人と家族が必死で笑いをこらえているシーンもあった。
調書は警察官の一人がテーブルの上にノートPCとモバイルプリンターを広げて内容を入力したところを印刷してもらったのを読み上げて確認。その内容も説明資料をあらかじめ作っていたためわりとスムーズに進んだ方だと思うがそれでも二時間ぐらいかかった。結構喋りっぱなしで物凄い疲労困憊した。口頭で喋るのが致命的に苦手だから個人開発やってるのに。
何故ぷらいべったーのIPアドレスが開示されたのか
X(Twitter)のようなログイン型SNSだと基本的にログイン時のIPアドレスしか取得しないことが多いので開示請求を行った場合、ログインした時のIPとログイン時間を開示してくる場合が多い
しかしこのログイン時のIPというのが曲者である。X(Twitter)の場合は普通にログインする以外にも外部サービスへのアプリケーションの連携を行ってログインする場合もあるからである。
アプリケーションの連携とは何か。よくログイン画面で「Twitterでログイン」とか「Googleでログイン」とか書いてあるあのボタンである。あれを押すと「(外部アプリ)へのアカウント情報のアクセスを許可しますか?」という確認画面が出てくるわけだが、そこで「連携アプリを認証」ボタンを押すことで外部サイトに対してTwitterのIDやユーザー名、アイコンやプロフィールといったアカウント情報が外部サイトに送信される。そしてTwitterに対してはその外部サイトのIPアドレスが送信される。
これが開示請求がされた時に外部サイトのサーバーのIPアドレスが開示される理由である。X(Twitter)は通常のログインとアプリケーションのログインの区別をせずに開示しているらしく、そのせいでX(Twitter)アプリケーション連携サービスのIPアドレスが開示されるという状況がまれによくある。
今回の件も警察がX(Twitter)に開示請求した複数のIPのうちのひとつがうちのアプリケーションの連携のログインだったらしい。
以前もさくらインターネットのabuse対策チームから「お客様のIPアドレスに対して発信者情報開示請求が来たんですけど」みたいな要返信メールが来たことがあり、そのときも第三者に対して誹謗中傷を行ったユーザーがTwitterアプリケーションの連携でログインしていた時のIPが開示されていたのが原因だったということがあるのですぐに分かった。
またQiitaでも似たようなケースで家宅捜索された人の記事があった。
つまりX(Twitter)が開示請求に対してアプリケーションの連携時のIPアドレスを開示するのが悪い。X(Twitter)は開示請求があったら普通のログイン時のIPアドレスだけ出してアプリケーションの連携は除外しろ。
今回、警察の人は全く失礼な感じではなかったし手続き上必要でやってるんだなというのは分かったけど、平日に二時間も警察の事情聴取に付き合うのだいぶ大変だったので本当にX(Twitter)にはなんとかしてほしい(以前弁護士からさくらインターネットを介して開示請求があった場合はメールのやりとりで済んでたし)
追記
アプリケーションの連携時のIPアドレスも一緒に開示される理由について、悪意のあるアプリケーションによる投稿だった場合を想定している可能性もあるという説も見かけました。
うちのアプリは読み取り権限しかないのでアプリを介して投稿するのは不可能ではあるんですが、せめて開示するときにこのIPはアプリケーションの連携ログインですみたいな注釈入れといてほしい気はする。
この記事はみすてむず いず みすきーしすてむず Advent Calendar 2024 3日目に投稿した記事です