検察庁のウェブページには、プライバシーポリシーが掲げられていない。プライバシーポリシーを掲げろという法律はないので、法律以外のことは世の中に存在しないと思っている検察としては当然かつ正当な振る舞いかもしれないし、実際このこと自体は特別非難すべきことでもなかろう。

ところでこの検察庁のウェブページには、「ご意見・ご質問」という投稿用のフォームのページがある。
http://www.kensatsu.go.jp/send_form/feedback.php
意見受付用フォーム自体は何の変哲もないが、このページのHTMLソースを見ると笑えるものが見つかる。こんな記述だ。

<img src="/cgi-bin/Counter.cgi/sendform/" width="1" height="1">

width="1" height="1"との記述から、ウェブバグだとすぐにわかるだろう。あのー、検察庁さん、こんなところでプライバシー情報を密かに集めたりするのは個人情報の違法収集になったりしませんか。４月から。

ところで、Counter.cgiの引数の与え方が面白い。これはおそらくこのウェブページ専用のcgiではなく汎用のものだろう。そこで、
http://www.kensatsu.go.jp/cgi-bin/Counter.cgi/a
でアクセスすると、やはり1ピクセル画像を返す。

CGIによって、aというログ用ファイルが作られるか、単一のログ用ファイルに a と書き込まれるのかどちらかだろう。汎用cgiなので、このcgiの仕様を知ることは不可能でないと思われる。もしもこのCGIが、単一のログファイルを使っていて、そのログファイルを直接、あるいは統計処理をほどこしたものをブラウザで監視・管理するようになっていることが仮に明らかになってしまうと、CSRF攻撃が可能になってしまうだろう。

CSRF攻撃の可能性を口にすると、不穏当発言ぐらいでは済まず、またもや業務妨害などといわれかねないので、とりさげることにしよう。

その代わり、アクセスするURLとして、
http://www.kensatsu.go.jp/cgi-bin/Counter.cgi/Do_not_peep_my_privacy.
などとすると、アクセスログに
Do_not_peep_my_privacy.
（私のプライバシーを覗き見するな）
などという文字列が記述されることになる。ログを管理してる奴がどんな顔をするか想像すると、ほんの少しだけ楽しい。プラクティカルジョークの類だ。

# まぁ、こんなCounter.cgiなどなくとも、httpdのログにこういった遊び文字列を残すことは容易ではあるのだが、それはこの際あえて忘れることにしよう。

参考：
Readmeすら読まない京都府警 http://www.13hz.jp/2004/10/winny.html
■readme.txtなんて誰も読まねえよ！■ http://s03.2log.net/home/programmer/archives/blog28.html