インドのユーザーのブラウジングセッションにJavaScriptを注入しているとされる通信大手Airtel

バンガロールのプログラマーがAirtelの3Gネットワークでブラウジング中に疑わしいコードを発見し、犯罪行為の通知で脅迫される

プライベート通信事業者Airtelは、再び批判の的となっています。ネット中立性に関する厳しい批判を受けた同社は、今度は顧客のプライバシーを侵害しているとの疑惑に直面しています。

6月3日付のツイートで、バンガロールに拠点を置く独立技術者のThejesh G.N.は「Airtel 3Gは静かにあなたのブラウジングセッションにJavaScriptを注入している」と主張しました。彼はGitHubにコードのスクリーンショットも投稿しました。ThejeshのGitHubの投稿によると、Javaコードが発信されたIPアドレスはバンガロールのBharti Airtelからのものでした。

Airtel 3GはあなたのブラウジングセッションにJavaScriptを注入しています https://t.co/QHPpSKinve — Thejesh GN (@thej) 2015年6月3日

The Wire.inは、簡単な検査でそのコードがThejeshが訪れていたウェブページに広告のような資産を読み込む数行のJavaScriptで構成されていることを明らかにしたと報じています。それはAnchor.jsと呼ばれています。ウェブベースのIPトラッカーを使用して、彼はそのコードが223.224.131.144というIPアドレスから発信されていることも確認しました。このIPアドレスはBharti Airtel Limitedに属しています。

それは非常に曖昧です。しかし、これはこの物語の始まりに過ぎません。6月8日、ThejeshはSolicis Lexという法律事務所の弁護士Ameet Mehtaから最もばかげた法的脅威の手紙を受け取りました。それは、コード注入ソフトウェアの責任を負っているとされるイスラエルの会社Flash Networkを代表していると主張し、Airtelがこれらの注入を行っていることを公に明らかにしただけで、Thejeshは2000年の情報技術法の下で犯罪的著作権侵害に関与していると主張しました。

6月9日、その命令に続いて、GitHubに対する削除通知（米国のデジタルミレニアム著作権法に基づく）が投稿されました。その後、Thejeshのファイルはアクセスできなくなりましたが、キャッシュされたバージョンはここにあります。

だから、私は大手通信会社によるJS注入を暴露したために停止と中止の手紙を受け取りました。おそらく削除するでしょう 🙁 — Thejesh GN (@thej) 2015年6月8日

オタワに拠点を置く開発者Vignesh Sundaresanは、JavaScriptの注入は特定のプログラムに追加機能を加えるための非常に不適切な手法であり、「ユーザーに通知せずに注入されると非常に厄介です」と述べました。そこで、Thejeshは他のユーザーに警告するために、プログラムの場所やその他の詳細をGitHubにアップロードしました。

この事件の陰謀は、Flash Networksの目的から生じていますが、それについては彼らの通知では一切言及されていません。C&D命令において、弁護士たちが言及しないのは、Anchor.jsがFlashにとって、そしてより重要なことにAirtelネットワークにとって何を可能にするかです。Thejeshや他の脆弱なユーザーがAirtel 3Gネットワーク上のウェブページを訪れると、Anchor.jsはそのページに広告のようなサードパーティのポップアップを読み込みます。

ユーザーがそのポップアップを表示または操作すると、そのポップアップを作成した者はお金を得ます。この場合、Anchor.jsのソースであるFlash NetworksはAirtelのIPアドレス上にホストされているため、Airtelはユーザーのブラウジング体験を利用して自社の利益を得ているという暗示があります。また、Flash Networksがその未確認のスクリプトを使用してユーザーデータを探すという追加の脅威もあります。

しかし、ThejeshがAnchor.jsの商業利用を意図していなかったため（また、彼がすでに機密でないコードを暴露したわけでもないため）、Flashの著作権がどのように侵害されたのかは不明です。インターネットと社会のセンターの政策ディレクターであるPranesh Prakashは、Anchor.jsがThejeshの体験をどのように害したかにかかわらず、彼がそれをGitHubにアップロードした行為は1957年のインド著作権法第52条第1項（ac）によって保護されているとツイートしました。

それは「コンピュータプログラムの機能を研究またはテストすることにより、プログラムの要素の背後にあるアイデアや原則を特定するために、コンピュータプログラムが供給された機能を実行するために必要な行為を行うこと」と述べています。

Flash Networksの意図は、ISPがネット中立性を侵害していることを示唆しています。なぜなら、Airtel 3Gネットワークのユーザーは、注入されたスクリプトによって読み込まれた資産のために、例えばBSNLのユーザーとは異なるウェブサイトXを見ているからです。

最近、TRAIからの物議を醸す政策文書に続いてインドでネット中立性の議論が高まる中、Airtel Zeroがその中心にありました。これは、AirtelがFacebookなどから支払いを受けて、Airtelネットワーク上でユーザーがFacebookに無料でアクセスできるようにするものでした。この取引は、データパケットのソースに基づく優遇措置を隠すため、ネット中立性を侵害しました。

Sundaresanは、もし西洋でこのような疑わしいJavaScript注入の事例が発見された場合、挿入者は数百万ドルの訴訟を起こされる可能性があるとコメントしました。

Airtelはこの件について声明を発表し、JavaScriptの注入は加入者が消費したデータ量を追跡するための方法であり、請求目的のためのものであり、「世界中の通信事業者によって展開されている標準的なソリューション」と述べました。同時に、声明はなぜこの操作がユーザーの目的のウェブページに広告を配置しているのかを説明していません。

実際、AirtelはThejeshに対してFlash Networksが発行した命令からも距離を置いています。「私たちは…この通知とは全く関係がないことを明言します。」それでも、2社が互いに関係していることは、2014年のFlashのプレスリリースの1つにAirtelとVodafoneがクライアントとして含まれていることから明らかです。

ISPの関与がより確実に確立されれば、ユーザーのプライバシーを侵害したとして法的措置を受ける可能性が高くなります。スクリプトは、Airtelのネットワークを介してThejeshのウェブサイトを閲覧している人々が見たときにも注入されていた可能性があるため、ISPは彼のコンテンツを視聴者に歪めた責任も負うことになります。

Thejeshの開示以来、Vodafoneもブラウザにサードパーティのソフトウェアを類似して挿入している可能性があることが明らかになっています。

著作権が決して検閲に使用されないと主張する人々に対して：この物語を説明してください。もちろん、すべてが大きな逆効果をもたらしているようです。Flashは自分たちが何をしているのかを隠そうとしたかもしれませんが、今でははるかに多くの注目を集めています。次回、悪質な慣行の内部告発者を犯罪的著作権侵害の主張で脅迫するのではなく、FlashとAirtelはユーザーを危険にさらす自社のひどいビジネス慣行についてもっと考えるべきでしょう。