HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2009 年下期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2009 年下期)

3 IPによる移動通信における位置情報プライバシ

太田 耕平、キニ・グレン・マンスフィールド

1. はじめに

  移動通信の普及につれて位置情報プライバシへの関心が高まっている。近年では位置情報を積極的に用いたアプリケーションが新たな利便性を提供している一方で、IPアドレスと緯度経度の情報を結びつけるサービスも容易に利用可能であることからIPアドレスの漏洩が物理的な位置の漏洩にもつながる可能性がある。さらにインターネットでは通信トラフィック情報を収集、分析することによって利用者を”プロファイル”することが可能であることからその対策も課題となっている。
  今後IPv6の導入とともに普及が期待されているMobile IPv6 [1]では、これまで移動環境であっても実際にはポイントごとにしか利用できず断続的であったインターネット接続がシームレスなものとなる。そのため、プロファイルされる要素の中に「移動していること」およびその移動元、移動先、といった情報が知らず知らずのうちに漏洩する危険がある。さらには端末で利用されているアプリケーションの情報をあわせて分析することで、行動や生活様式、さらには個人の特定も可能となる危険がある。
  また、これらの問題で警戒すべき対象として、第三者による傍受のみならず通信相手によるプロファイリングも含まれることが重要である。例えば、移動端末から利用する様々なサービス事業者がそれらの情報を収集、分析、利用する可能性がある。
  本稿では、IP通信での位置情報の利用と保護の問題のうち、Mobile IPv6によって直面するIPアドレスとその変動情報の漏洩に起因する位置情報プライバシ問題と、その対策の現状について述べる。

2. MobileIPv6におけるIPアドレスの位置情報プライバシ問題

  MobileIPv6における位置情報プライバシは、[2]で基本的な問題点が挙げられている。MobileIPv6では、移動端末がそのアドレスとして固定的なホームアドレス(HoA:Home address)と移動先毎に変化する気付アドレス(CoA:Care-of address)を持ち、移動端末とホームアドレスをホストするホームエージェント間をトンネリング接続することでシームレスなインターネット接続を実現している。そのため、特定のHoAに対するCoAの変化を観測できればその端末(多くの場合は特定の個人と強い関係がある)が移動していることがわかり、それらを追跡し、さらなるプロファイルが可能となる。
  それゆえ、Mobile IPv6で、IPアドレスの位置情報プライバシを保護することは、移動端末のCoAとHoAの関係を保護することとなる。現在のMobile IPv6で、CoAとHoAの関係が漏洩するのは以下のような場合である。

(1) 通信相手へのCoAの開示
  Mobile IPでは移動端末-通信相手間は、原則としてホームエージェントを経由するリバーストンネルと呼ばれる経路で通信される。しかしこの経路は冗長であることから、Mobile IPv6ではホームエージェントを経由せず、通信相手にCoAを開示して直接通信する最適経路モードを標準で備えることになっている。つまりこのモードを使用しているときには通信相手は移動端末のCoAを知ることができ、保持しているHoAとCoAの関連情報を参照することで、移動端末が実際に移動したかどうかを知ることができる。

(2) 第三者へのHoAの漏洩
  移動端末-ホームエージェント間のトンネルが暗号化されていないとき、経路上の第三者はその通信に含まれているHoAとCoAを盗聴することができる。また、移動端末-通信相手間で経路の最適化モードを使用しているときには、経路上の第三者は移動端末が通信相手にHoAとCoAの関連付けのための通信を盗聴可能であり、やはり移動端末が実際に移動したかどうかを知ることができる。

図 1 MobileIPv6におけるIPアドレスの位置情報プライバシ問題

3. MobileIPv6における位置情報プライバシの保護

  移動端末は、移動端末-ホームエージェント間のトンネルをIPsecのESP(Encapsulating Security Payload)で暗号化することで、経路上の第三者へのHoAの漏洩を防ぐことができる。また通信相手との通信にMobile IPv6で標準となった最適経路モードではなくホームエージェントを経由するリバーストンネルによる通信を利用すれば、暗号化するかどうかに関わらず通信相手はCoAを知ることはできないためアドレスから移動を知ることはできない。

図 2 既存の手法による位置情報プライバシの保護とその限界


  しかし最適経路モードでは通信相手にCoAを開示する必要があるだけでなく、そのためのメッセージにHoAの情報が含まれ、それらは暗号化されていないため、通信相手と経路上の第三者の双方に移動端末のCoAとHoAの関係をさらすことになる。この問題を解決するには移動端末がCoAを開示しつつHoAを保護することが必要となる。

4. RFC 5726が提案する新しい保護

  2010年2月にIRTF(Internet Research Task Force)から発行されたRFC 5726 [3] ではこれらのIPアドレスの開示の必要性と保護の両立の問題に対応し位置情報プライバシを保護するふたつのシナリオが提案されている。
  ひとつは通信相手が移動端末の本当のHoAを知ることができ、通信相手側から移動端末に対して通信を開始するケースであり、HoAを暗号化する手法である。もうひとつは移動端末側から通信を開始するケースであり、本当のHoAを通信相手にも開示しない手法である。

4.1. 暗号化HoA(リバーストンネルによるCoAの通知)

  この手法では、最適経路モードで移動端末から通信相手にCoAを通知するメッセージ中のHoAの第三者への漏洩を防ぐために、メッセージ中のHoAを暗号化する。
  問題はいかにして移動端末-通信相手間で暗号化のための鍵を共有するかであるが、通信相手から移動端末への通信を確立する際のリバーストンネル経由のReturn Routability手続きを利用し、その中で生成される鍵を利用することでこれを実現する。
  これによって通信相手は通知されたCoAに対する本当のHoAと暗号化されたHoAを保持することになり、最適化された経路で交換されるパケットには暗号化されたHoAを利用ことで経路上の第三者から本当のHoAを保護することができる。Return Routability手続きで生成される鍵は通信相手によって異なるため暗号化されたHoAもまた異なるものとなる。この手法は、既存のReturn Routability手続きを変更することなく実現できる。

4.2. 擬似(Pseudo)HoA

  通信相手から通信を開始する上記ケースでは通信相手に本当のHoAを開示する必要があるが、移動端末にとってより好ましいのは通信相手からも本当のHoAを保護することである。移動端末がCoAを通知する際に本当のHoAではなく擬似的に生成した擬似HoAを利用することでこれを実現する。
  単なる暗号化とは異なり、擬似HoAはホームエージェントまで実際に経路制御されるアドレスである必要があるため、ホームエージェントが存在するホームネットワークのPrefixとランダムなビット列を結合することで生成される。生成された擬似HoAはReturn Routabilityおよび通信相手へのCoAの通知にも利用される。これによって移動端末は本当のHoAを通信相手にも公開することなく通信が可能となる。また擬似HoAは通信相手毎に異なるものを利用できるためプロファイリングを試みる盗聴者がHoAを固定的なIDとして利用することを防ぐこともできる。
  さらにこの手法では通信相手にとっては使われているHoAが本当のHoAか擬似HoAか区別することができない。

図 3 暗号化HoAと擬似HoAによる位置情報プライバシの保護

5. まとめ

  Mobile IPv6の位置情報プライバシを考える際には、いかにしてHoAとCoAの関連を、通信相手、および盗聴者から保護するかが課題となる。これまでのMobile IPv6の枠組みの中では移動端末-ホームエージェント間のトンネル通信を暗号化し、CoAの開示につながる最適経路モードを利用しないことが推奨されることとなる。RFC 5726では最適経路モードを利用しながら経路上の第三者と通信相手から真のHoAを保護する手法を考案し、CoAの開示が端末(利用者)の特定につながらない方法を提案している。一方でRFC 5726はインターネットにおける位置情報プライバシという広範な問題の中でMobileIPv6に固有な部分に関する解決案を提示しているExperimentalなRFCであり、インターネットの位置情報プライバシの利用と保護の問題は多くの課題があるホットな技術分野である。

以上

参考文献

[1] RFC 3775, “Mobility Support in IPv6”, June 2004.
[2] RFC 4882, “IP Address Location Privacy and Mobile IPv6: Problem Statement”, March 2007.
[3] RFC 5726, “Mobile Ipv6 Location Privacy Solutions”, February 2010.

 

目次へ 次へ