NHK 'สักดิจิตอล' ตอนที่ 1 ทักษะ IT และกฎหมาย

เทคโนโลยี IT และกระบวนทางกฎหมายที่ปรากฏในละครวันเสาร์ของ NHK ‘ดิจิตอล ทาทู’ แม้จะมีการปรับเปลี่ยนและละเว้นบางรายละเอียดเพื่อความเหมาะสมกับการนำเสนอในรูปแบบละครทีวี แต่ก็ยังคงเป็นสิ่งที่ใช้จริงในการจัดการกับความเสียหายจากความเห็นที่ไม่ดีในความเป็นจริง

ภาพยนตร์ที่น่าสนใจที่สุดในตอนที่ 1 คือฉากที่ตัวละครหลัก YouTuber ที่ชื่อไทเกอร์ (นายเซโตะ โยชิฟุมิ) ถูกประกาศการฆ่าตายผ่านบอร์ดข้อความที่ไม่ระบุชื่อโดย ‘หน้ากากพระจันทร์สุริยคราส’ และที่อยู่ของเขาถูกเปิดเผย ในบทความนี้ เราจะอธิบายเกี่ยวกับเทคโนโลยี IT และกระบวนทางกฎหมายที่ปรากฏในตอนที่ 1 โดยมุ่งเน้นที่ฉากนี้

ความเหมือนกันระหว่าง “หน้ากากพระจันทร์” และผู้ดูแล “God’s Eye”

“เมื่อฉันวิเคราะห์รูปภาพที่หน้ากากพระจันทร์โพสต์ ฉันพบรูปภาพที่มีภาพพื้นหลังเดียวกัน… ดูสิ.”

“โอ้ หน้ากากที่แขวนอยู่บนผนังห้องเหมือนกันเลย”

“ชื่อผู้ใช้ของเขาคือ Jesus และเขากำลังดำเนินการบล็อกที่เรียกว่า ‘God’s Eye’ โดยไม่เปิดเผยตัวตน.”

NHK Saturday Drama “Digital Tattoo” Episode 1

ยูทูบเบอร์ที่ชื่อ Taiga กำลังค้นหาชิ้นส่วนของข้อมูลบนอินเทอร์เน็ตเพื่อระบุตัวตนของ “หน้ากากพระจันทร์” ซึ่งได้ทำการขู่ฆ่าเขาบนบอร์ดข่าวที่ไม่เปิดเผยตัวตน วิธีนี้ไม่ใช่เทคนิค IT ที่บริสุทธิ์หรือวิธีทางกฎหมาย แต่เป็นวิธีที่ “ใช้ช่องโหว่ทางจิตวิทยาของมนุษย์และข้อผิดพลาดในการกระทำเพื่อรับข้อมูลลับที่บุคคลมี” ซึ่งเรียกว่า “Social Engineering” ในทางปฏิบัติ มันเป็นหนึ่งในวิธีที่สำคัญในการแก้ไขเหตุการณ์บนอินเทอร์เน็ต

ในซีรี่ย์ พบว่าผนังที่เป็นภาพพื้นหลังของรูปภาพที่ “หน้ากากพระจันทร์” อัปโหลดด้วยตัวเอง (ผนังที่มีหน้ากากแขวนอยู่) ตรงกับผนังของห้องของผู้ดำเนินการ “God’s Eye” ที่อัปโหลดในบล็อก “God’s Eye” ที่ดำเนินการโดยไม่เปิดเผยตัวตน จากข้อมูลนี้ สรุปได้ว่า “หน้ากากพระจันทร์” = “ผู้ดำเนินการ God’s Eye”

การกระทำของหน้ากากพระจันทร์ นั่นคือ “การอัปโหลดรูปภาพที่มีภาพพื้นหลังเป็นส่วนที่โดดเด่นของห้องของตัวเอง (หน้ากาก) ลงบอร์ดข่าวที่ไม่เปิดเผยตัวตน” อาจจะเป็นการกระทำที่ “ไม่ระมัดระวัง” แต่ในสถานการณ์ที่ต้องแก้ไขเหตุการณ์จริง มีกรณีที่สามารถระบุ “ผู้ร้าย” จากการกระทำที่ไม่ระมัดระวังอย่างนี้อยู่ไม่น้อย

การสืบสวนข้อมูล whois ของผู้ดูแลระบบ “God’s Eye”

“ดังนั้นฉันได้สืบสวนโดเมนของเขาผ่าน @whois แต่ก็ยังคงเป็นความลับอยู่”

อ้างอิงจากข้างต้น

ต่อมา ไทเกอร์ ได้พยายามที่จะระบุตัวตนของผู้ดำเนินการ “God’s Eye” จากการที่เขาเป็น “มาสค์จันทรคราส” การสืบสวนข้อมูล whois ของโดเมน “God’s Eye” คือการที่เขาทำขึ้นมาเป็นครั้งแรก

โดเมนที่เป็นเอกลักษณ์และข้อมูล whois

“God’s Eye” เป็นเว็บไซต์ที่ใช้โดเมนที่เป็นเอกลักษณ์ ผู้ที่ได้รับโดเมนนี้ต้องลงทะเบียนที่อยู่และชื่อของตนเองในฐานข้อมูลที่เรียกว่า “whois” และต้องเปิดเผยให้ทั่วโลกทราบ

สำหรับการระบุตัวตนของผู้ดูแลระบบโดเมนที่เป็นเอกลักษณ์ กรุณาอ้างอิงบทความอื่นๆ ในเว็บไซต์ของเรา

https://monolith.law/reputation/whois[ja]

ข้อมูล whois สามารถตรวจสอบได้โดยใช้บริการเว็บที่สำหรับการอ้างอิงข้อมูลนี้ เช่น “ANSI Whois” ในซีรี่ย์ ไทเกอร์ ได้ใช้บริการเว็บที่เรียกว่า “@whois” ในการสืบสวนข้อมูลอย่างเดียวกัน

บริการลงทะเบียนโดเมนแบบไม่เปิดเผยตัวตนคืออะไร

อย่างไรก็ตาม ในโลกนี้ยังมีบริการที่เรียกว่า “บริการลงทะเบียนโดเมนแบบไม่เปิดเผยตัวตน” สำหรับคนที่ต้องการได้รับโดเมนที่เป็นเอกลักษณ์ แต่ไม่ต้องการเปิดเผยชื่อและที่อยู่ บริการนี้เป็นบริการที่ผู้ขายโดเมนที่เป็นเอกลักษณ์ หรือที่เรียกว่า “ผู้รับจดทะเบียนโดเมน” ได้เตรียมไว้

ในกรณีที่โดเมนถูกลงทะเบียนด้วยบริการนี้ ข้อมูลที่ถูกลงทะเบียนเป็นข้อมูล whois จะเป็นข้อมูลของผู้รับจดทะเบียนโดเมน ไม่ใช่ข้อมูลของบุคคลที่ได้รับโดเมน ดังนั้น แม้ว่าจะอ้างอิงข้อมูล whois ก็ยังไม่สามารถรับข้อมูลของผู้ลงทะเบียนโดเมนได้

การวิเคราะห์ข้อมูล ID ที่ถูกแบ่งส่วนจากการวิเคราะห์การเข้าถึง “God’s Eye”

ในกรณีที่ต้องการระบุผู้ดำเนินการเว็บไซต์ที่ไม่ระบุชื่อบนอินเทอร์เน็ต แม้ว่าภายในเว็บไซต์นั้น (เราจะเรียกว่า A) จะไม่มีข้อมูล

1. เริ่มต้นด้วยการค้นหาเว็บไซต์อื่น (เราจะเรียกว่า B) ที่ผู้ดำเนินการเดียวกับ A
2. สำรวจว่าสามารถระบุชื่อและที่อยู่ของผู้ดำเนินการเว็บไซต์ B ได้หรือไม่

มีวิธีการที่เป็นไปได้ หากไม่พบข้อมูลใน “God’s Eye” (A ดังกล่าว) ทายก้าจะค้นหาเว็บไซต์อื่น (B) ต่อไป

การวิเคราะห์การเข้าถึงบริการและ ID ที่ถูกแบ่งส่วน

“ดังนั้น เมื่อฉันตรวจสอบเครื่องมือวิเคราะห์การเข้าถึงของหน้าเว็บนี้ ฉันพบ ID ที่ถูกแบ่งส่วน และเมื่อฉันค้นหา ID นี้ด้วย ExDB ฉันพบเว็บไซต์ของ VTuber ที่ชื่อว่า Tomochin”

ดังกล่าว

ที่ทายก้าเลือกใช้เป็น “คีย์” คือ ID ที่ถูกแบ่งส่วนของบริการวิเคราะห์การเข้าถึง บริการวิเคราะห์การเข้าถึงมักจะมี ID ที่ถูกแบ่งส่วนสำหรับแต่ละผู้ใช้ เพื่อตอบสนองความต้องการของผู้ที่ดำเนินการหลายเว็บไซต์และต้องการตรวจสอบข้อมูลการเข้าถึงของแต่ละเว็บไซต์อย่างครอบคลุมบนบริการวิเคราะห์การเข้าถึง

ตัวอย่างเช่น สำนักงานของเราใช้ “Google Analytics” ซึ่งเป็นมาตรฐานของบริการวิเคราะห์การเข้าถึง โค้ดที่สำนักงานของเราฝังสำหรับ “Google Analytics” คือ

gtag(‘config’, ‘UA-42806097-2’);

นี่หมายความว่า “เว็บไซต์ที่ 2 ของผู้ใช้ ‘UA-42806097′” ดังนั้น จากการอ่านโค้ดนี้ เราสามารถสร้างสมมติฐานต่อไปนี้

ผู้ดำเนินการสำนักงานทนายความ Monolith น่าจะดำเนินการเว็บไซต์อื่นอย่างน้อยหนึ่งเว็บไซต์ “UA-42806097-1”

การสำรวจโดย “SpyOnWeb”

“SpyOnWeb” เป็นเว็บไซต์ที่สำรวจและบันทึก ID ของ “Google Analytics” สำหรับแต่ละเว็บไซต์บนอินเทอร์เน็ต

ด้วยบริการนี้ เราสามารถรับข้อมูลเช่น รายการเว็บไซต์ที่ผู้ใช้ “UA-42806097” ดำเนินการ

เว็บไซต์ “UA-42806097-1” เป็นเว็บไซต์ส่วนตัวของทนายความผู้แทนของสำนักงานเรา

ในซีรีส์ ทายก้าใช้วิธีนี้ผ่านบริการเว็บที่เรียกว่า “ExDB” และพบว่า ID ที่ถูกแบ่งส่วนเดียวกันกับ “God’s Eye” (เว็บไซต์ A) ได้รับการแปะบนเว็บไซต์ของ VTuber “Tomochin” (เว็บไซต์ B) ดังนั้น มีความเป็นไปได้สูงว่าผู้ดำเนินการของสองเว็บไซต์นี้เป็นคนเดียวกัน

การระบุ Affiliate ID และชื่อ-ที่อยู่ และบัญชีธนาคาร

ต่อมา ทายก้าจะทำการสอบสวนว่าสามารถหาข้อมูลเกี่ยวกับผู้ดำเนินการเว็บไซต์ B ได้หรือไม่ สิ่งที่ทายก้าสนใจคือ “เว็บไซต์ของ Tomochin มีโฆษณาแบบ Affiliate ติดอยู่”

ข้อมูลส่วนบุคคลของผู้ดำเนินการเว็บไซต์และโฆษณาพันธมิตร

“แต่ที่นี่มีโฆษณาพันธมิตรติดอยู่ในเว็บไซต์นี้
(ตัด)
ในการรับค่าโฆษณานี้ จำเป็นต้องลงทะเบียนบัญชีธนาคาร และผู้ใช้จำเป็นต้องยื่นข้อมูลที่อยู่และชื่อของตน”

ดังกล่าวข้างต้น

โฆษณาพันธมิตร ถ้าอธิบายให้ง่าย คือ “เมื่อผู้ใช้ที่เข้าชมเว็บไซต์นั้นคลิกที่แบนเนอร์ ค่าคอมมิชชั่นพันธมิตรจะถูกโอนเข้าบัญชีธนาคารของผู้ดำเนินการเว็บไซต์”

ดังนั้น ในการใช้โฆษณาพันธมิตร ผู้ดำเนินการเว็บไซต์จำเป็นต้องแจ้งข้อมูลส่วนบุคคลของตน อย่างน้อยคือบัญชีธนาคาร ให้กับผู้ให้บริการพันธมิตร

ดังนั้น ถ้าวิเคราะห์โฆษณาพันธมิตร (หรือที่แน่นอนคือ การเข้าใจเครือข่ายพันธมิตร และตรวจสอบว่าบริษัทใดที่ทำการโอนเงินเข้าบัญชีธนาคารของผู้ดำเนินการ B ในที่สุด) จะสามารถตรวจสอบว่า “บริษัทใดที่ทราบข้อมูลบัญชีธนาคาร (และข้อมูลส่วนบุคคลอื่น ๆ) ของผู้ดำเนินการ B”

หากข้อมูลนี้ถูกเปิดเผย สิ่งที่ต้องทำต่อไปคือการเรียกข้อมูลของผู้ดำเนินการ B (ผู้ดำเนินการ A) จากบริษัทนั้น แต่การขอเปิดเผยข้อมูลนี้ไม่ได้ง่ายเสมอไป สำหรับบริษัทนั้น ข้อมูลนี้เป็นข้อมูลส่วนบุคคลของลูกค้า และไม่ค่อยจะเปิดเผยข้อมูลให้กับบุคคลทั่วไป (หรือทนายความที่เป็นตัวแทน) ดังนั้น ไทเกอร์ตัดสินใจหยุดการสืบสวนครั้งนี้ และขอความช่วยเหลือจากทนายความอิวาอิ (ที่แสดงโดย คุณ ทาคาฮาชิ คัตสึมิ)

การร้องขอเปิดเผยข้อมูลโดยการสอบถามสมาคมทนายความ (การสอบถามตามมาตรา 23)

“แต่พวกเขาจะไม่บอกฉันถึงสิ่งนี้ ดังนั้น ลุงที่มีคุณสมบัติเป็นทนายความจึงเข้ามา ลุงบอกว่าถ้าเป็นทนายความ สามารถสอบถามได้ตามมาตรา 23.”

ดังกล่าวข้างต้น

ทนายความสามารถใช้สิทธิพิเศษที่เฉพาะทนายความเท่านั้นที่สามารถใช้ได้ นั่นคือ การสอบถามสมาคมทนายความ หรือที่เรียกว่า “การสอบถามตามมาตรา 23” นี่ไม่ใช่การร้องขอเปิดเผยข้อมูลจากบริษัทที่เกี่ยวข้องโดยตรง แต่เป็นการขอให้ “สมาคมทนายความ” ร้องขอเปิดเผยข้อมูล และสมาคมทนายความจะร้องขอเปิดเผยข้อมูลในนามของสมาคม

https://monolith.law/reputation/references-of-the-barassociations[ja]

ไทเกอร์ได้ขอให้ทนายความอิวาอิรับเรื่องนี้ และดำเนินการสอบถามสมาคมทนายความ (การสอบถามตามมาตรา 23) เพื่อจัดการกับเรื่องนี้ การสอบถามนี้ประสบความสำเร็จ และทนายความอิวาอิได้ระบุตัวตนของ VTuber ทอมจิน (ผู้ดำเนินการ B) = ผู้ดำเนินการ “God’s Eye” (ผู้ดำเนินการ A) = ผู้สวมหน้ากาก Eclipse ได้

คลิกที่นี่เพื่อดูรายละเอียดเกี่ยวกับ “ดิจิตอล ทาตู”

สรุป

แน่นอนว่าในความเป็นจริง การใช้วิธีการเหล่านี้ในปริมาณมากๆ แบบนี้เป็นเรื่องที่ไม่มากนัก และยังมีกรณีที่วิธีการที่เราใช้ทั้งหมดจะประสบความสำเร็จก็ไม่มากนัก

แต่ในสถานการณ์จริงของการจัดการความเสี่ยงด้านชื่อเสียง การระบุผู้ดำเนินการเว็บไซต์ด้วยวิธีการที่ผสมผสานระหว่างเทคโนโลยี IT และวิธีการทางกฎหมาย หรือวิธีการ “ไฮบริด” นี้เป็นสิ่งที่สำคัญมาก และจำเป็นอย่างยิ่ง

และเพราะเหตุนี้เอง การจัดการความเสี่ยงด้านชื่อเสียงจึงเป็นเรื่องที่ยากถ้าไม่มีคนที่รู้เรื่องทั้ง IT และกฎหมาย

https://monolith.law/reputation/nhkdrama-degitaltatoo-02[ja]