スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


簡単なために見失いがちなもの

 Twitterで発生した(発生している?)騒動について、思うところがあるので少し。

 具体的な事件の内容としては、「なるほど四時じゃねーの」というツールの管理者(作成者)が、当初表記されていた動作以外の機能を組み込んだことに対して、導入時に意図していた以外の動作をしたためにユーザーから批判が出ている状態でしょうか。
 最低限の関連する「つぶやき」はこちらに纏められているようなのと、事件そのものはまだ進行中なので、その是非については今日は書かないでおこうと思います。

 予告なしに追加で機能をつけることの是非、というのは何ともいえない部分があるのですが、それよりも少し広いレイヤで見てみると、Webサービスにおいて「権限を与える」ということの恐ろしさが見えてくる気がします。
続きを読む >>

何をもって「安全」とし、何をもって「改善」とするか

 mixi「空飛ぶ」プロフィール閲覧者にウイルス感染の恐れ アプリは影響なしという記事より。一連のmixiアプリ関連の続きです。

 そもそも警告が遅い感はありますが、それはそれとして。
 マイミク通信簿など公開アプリは別サーバで運用しており、影響はないという。

 のは良いとしても、
同社は2月25日から全アプリを停止していたが、「安全性が確認された」とし、3月5日からマイミク通信簿など12のアプリを再開した。
 これは信じるべきなのでしょうか。


 「空飛ぶ」のホームページを見たところ、「2010/03/05:アプリ一時停止についてのお知らせ」というのがありますが、これがmixi内のプロフィールに繋がっています。不祥事を起こした会社が、会員制サイトにログインしないと見れないページに、その不祥事の事後報告を載せるというのはどういった了見なのでしょうね。ましてやそのプロフィールのページは、騒動の前はセキュリティ面で非常に問題があったページなのですから。見に行くにも勇気と準備が必要、というものでしょう。
(そもそも何のためのホームページなのやら、ですが)

 そして、「改竄の事実」などは認めているものの、具体的に今後、どういったセキュリティを強化していくか、といった点については一切触れていません。一応、セキュリティを強化します、と書いてはありますが、具体性はまったく無いのです。(そもそもの報告の主眼が「今は問題ない」点であって、過去にどんなウイルスに感染した可能性があるか、といった情報すらありません。)

 ましてや、mixi内にある、「空飛ぶ」のアプリケーションに対するサポート場所(コミュニティ)では、まったくこの件に関してアナウンス等されていません。(2010 03/06 01:30 JSTに、一番ユーザー数の多い「マイミク通信簿」のサポートコミュニティで確認)
 「空飛ぶ」の社長のTwitter等も、この事件が発生した後も更新されていながら、一切触れていません。公式Twitterに至っては完全に放置です

 こういった、ユーザーの声は完全に無視し、作りたいものだけを作り、あとは適当に放置する、という体制では、第二・第三の事件が起きてもおかしくはないでしょうね。流石に、起きる、と断言はしませんが。少なくとも、「空飛ぶ」という会社の体質(あるいはmixiアプリを運営していく姿勢)が直らない限り、本質的な危険性は事件の前と変わりません。なぜならば、どれだけ優れたセキュリティを導入しようと運営する人間側に問題があれば脆弱性など簡単にできますし、運営する人間の側に意識改革がまったく見られないからです。



 あと、やや遅ればせながら報告を。
 mixi運営事務局さんのほうは先日、問い合わせをした内容については懸案事項としており、安全な環境を構築することに取り組んでいく、という前向きなお返事はいただきました。(具体的にどうする、といったものはありませんでしたが、早急に仕様を変更できるものでもないでしょうし)
 質の悪い開発会社がでてくるのは防ぎようがないかもしれませんが、そういった会社のせいでせっかくの大規模SNSが危険サイトにならないことを祈るばかりです。

mixi運営事務局さんに要望を出してみました。

  mixiさんのほうに、今回の一連の経緯を踏まえて問い合わせをしてみました。
(内容は続きのほうに記載します。)

 さて、これくらいのことでも実装して貰えれば、ある程度の被害を防ぐことができるかな、と思うのですけれどもね。
続きを読む >>

mixiアプリの件、一段落のようです。

  本日(2/25 21:00 JST頃)、mixi運営事務局さんの方からメールを頂きまして、どうも「空飛ぶ」の会社のサーバーが改竄されていたらしく、セキュリティ調査のために他のアプリもすべて止める、とのことでした。

 現在(2/25 22:00 JST)私が確認した限りでは、先日の記事に書いたような問題は解消されていると見て良いと思います。


 「空飛ぶ」さんが悪意を持って何かしたわけでもなく、ある意味被害者だった、ということのようですが、やはり今回の件は少なからず考えるべきところがあるように思えます。

 散々語り尽くされた話ではありますが、「Webアプリケーションの提供者は容易に加害者に成りうる」という点については、私自身も気をつけていかないといけないな、と思います。


 それにしても、mixiアプリという仕様そのものについては、やはり不安を禁じ得ないな、という気がします。せめてコンテンツは全てmixi側のサーバーにアップロードし、そこでウイルススキャンなどをかけるような機能が最低限無いと、こういった問題はまたどこかで起きるのではないか、と思うのですが・・・。

mixiアプリの件

  昨日および一昨日に記事にしたmixiアプリの件ですが、本日やっとmixi運営事務所から連絡がありまして、とりあえず該当のアプリ自体は停止にされたそうです。(私も、メールよりやや遅ればせながら、2月24日 21:00 JST現在、問題のアプリはなくなっていることを確認しました。)
 mixiの運営さんのほうで、現在、「空飛ぶ」のほうに事実確認を行っている途中のようです。

 当面の脅威は無くなったのかもしれませんが、少し安心できるかな、と思います。
 それでも、何故このような事態になったのか、「空飛ぶ」さんのどういった点に問題があり、今後通常運用されているアプリも含めてどうやって再発を防止していくのか、が明確にならない限りは「無くなった」と断言していいわけではないでしょうけれども。

 それにしても、ログインしている形跡はあるのに何ら発表を行わないあたり、「空飛ぶ」さんの「臭いものに蓋をする」体質は相当なものですね。これでは、こういったセキュリティ事故が起きるのも「さもありなん」だと思います。


2010 02/25 23:20 JST 追記
最新の状況は
こちらに書きました。現在はかなり安全な状態になっています。

mixiアプリが危険な件、幾つか追記。

  まず、件のドメインですが、Norton Safe Webを見る限り真っ黒ですね。やはり、現在問題がないからといって今後も安全とはとても言えないレベルです。

 それから、mixiのシステム上の不備、といいますか……。
 問題のアプリは「開発中」なので、一般ユーザーは使用できません。使用できたら困りますが。
 mixiの「アプリケーションを通報する」機能は、そのアプリケーションのユーザーしか通報できないので、開発中のアプリケーションについてはどれ程酷い問題があろうと、開発者に直接通報はできないことになります。
 また、開発者のアカウントへのメッセージも、公認アカウントであるという理由でそもそも送信できないようになっているようなので、直接連絡を取ることができません。

 ということでmixiに直接問い合わせをするしかにのですが、果たしていつ対応されるやら、といったところです。

 繰り返し書きますが、「マイミク通信簿」「今日すべきこと」等のアプリを開発している「空飛ぶ」のホームは開かないよう気をつけてください。いつ頃対策が為されるかは判りませんが、過去にマルウェアを配布していた危険なドメインからの画像が貼り付けられているのが現状です。(2010年2月24日 0:00 JST現在)

 管理体制を考えると、同社のアプリ全体が危険な気がしなくもないのですが・・・流石にそれは穿ちすぎ、でしょうかね。でも、アプリにセキュリティホールがある、というなら兎も角、危険なドメインの画像ファイル(しかも正常に表示できない)をわざわざ貼るって、普通にアプリを開発している限りは起きないので、余程、杜撰かつ不思議な作り方をしているようにしか思えないのですが。それとも何かマルウェアに感染しているのでしょうかね?


ちょっと判りにくいので追記(2010 2/24 0:20 JST)
 開いたら危険なのは、mixi内にある「空飛ぶ」のページ(プロフィールのページ)です
 私が見た限りでは、彼の会社のホームページは問題ないように見受けられます・・・が、如何せん、こういう状態なので安全とは思わないほうがいい気がしなくもないです。

2010 02/25 23:20 JST 追記
最新の状況は
こちらに書きました。現在はかなり安全な状態になっています。


「mixiアプリ」という脆弱性

  「mixiアプリ」の危険性について、です。

 発端は、知人から「とあるmixiユーザーのページを表示すると、ウイルス対策ソフトに遮断される」という情報を頂いたことです。単純な個人ユーザーであれば「何か変なファイルでもアップロードしたのでは」で済む話なのですが、問題はそれが、mixi公認アカウントであり、mixiアプリ提供者のものであった、という点です。(そして、結論から書きますと、そういった危険(かもしれない)ファイルの読み込みが、そのアプリ提供者が提供するアプリに起因するものだった、という点です。)

 2010 2/24 0:00(JST) こちらの記事に状況を追記しました。

    2010 02/25 23:20 JST 追記
 最新の状況はこちらに書きました。現在はかなり安全な状態になっています。

続きを読む >>

まだあったCSRFとサイバー・ノーガード戦法

  「ヘタクソ」pixivに意図せず中傷コメント CSRF脆弱性を悪用
という記事より。

 イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。
 とのことで、何にせよ脆弱性が修正されたのは喜ばしいことです。

 ただ、正直なところあれほどの大手サイトに「まだCSRFがあった」というのも驚きではあります。また、
 同社は「脆弱性による不具合を利用し、他人のアカウントになりすまして不適切なコメントを行った行為は不正アクセス禁止法違反に該当する」とし、警察と情報処理推進機構(IPA)に届け出るという。

 というのも、どうも逆に心配になってしまいます。高木浩光氏がblogで詳しく書かれていますが、CSRFによる攻撃を簡単に不正アクセス禁止法違反、と言い切れるのかどうかはかなり難しい問題であって、簡単にコメントできるようなものとは思えないからです。言い換えれば、すぐに「不正アクセスされました、pixivは被害者です」という態度を取ってしまうのは、どちらかというとサイバー・ノーガード戦法に類するものであって、pixivの信頼そのものを更に下げてしまう結果にもなりかねないようにも思えるのです。

 脆弱性があったこと自体はどうしようもありませんが、少なくとも今回は、幸いにも、と言うのはやや不謹慎かもしれませんが、金銭的な被害などはあまりでていないでしょうし、いくらでも「取り返しのつく」範囲だと思います。なのに、対応がこれでは、というのが残念に思えてなりません。

削除責任というよりも・・・

ストリートビューの削除責任はGoogleにあり
という記事より。

 記事で触れられているYoutubeにしても、あるいはストリートビューにしても、問題点の根幹は「データをアップロードされることにより被害を受けた人が、気がつかない可能性がある」点でしょうね。それこそインターネットに接続する環境も習慣もない人にとっては、ストリートビューに映った自分が公開され、それによりプライバシーの著しい侵害を受けたとしても気がつくことがない、という部分に怖さを感じます。
 Googleが検索エンジンを軸として成長した会社であることは言うまでもないのですが、WWW上にアップロードされたファイルであれば、ある程度、リンクを貼られたり、インデックス化されたり、あるいは引用されたりするのは仕方がないと思います。一時期「無断リンク」の論争でも出てきたことですが、結局のところ「そういったことが嫌ならインターネットにアップロードしなければいい、あるいは認証などを用いて自己防衛すればいい」という話になるのですから。
 ただ、問題はその考え方を現実社会全体にそのまま適用してしまうと、こういったズレが出てきてしまうことです。町並みや風景をインデックス化してしまった弊害として発生したこのような問題について、単純に「嫌なら消す」という態度だけではやはり不足でしょう。そもそもインターネット上でのリンクやインデックスと違って、侵害されたプライバシーは取り戻せないことも多いですし、全ての人がインターネットにアクセスし、自分の権利が侵害されていないかを確認する、などというのは非現実的なのですから。

 記事は、
 だがStreet Viewに関しては、Googleにはその内容を自ら取り締まる道義的責任があるとわたしは考えている。

 と締めくくられています。確かに、ここまで来てしまったら道義的責任があるでしょう。内容を取り締まるというよりも、Googleの判断基準だけで公開の可否を判断するのではなく、もっと世間一般の人の意見を聞いてから公開すればここまで問題にはならなかったように思えます。……公開の可否すら検討していなかったのかもしれませんが。

 覆水盆に返らず、とはいいますが、私はむしろ、一番良いのは撮影時に常に人が入らないように配慮し、どうしても入る場合はその場で公開の許可を貰うことだと思います。それが非現実的だ、というのなら、ストリートビューというサービス自体を、道義的に問題なく行うことが非現実的だった、というだけのことなのですから。

mixiは本当に健全なのでしょうか。

mixi“出会い”コミュ一斉削除 「健全化」の一環

 ミクシィは3月19日、SNS「mixi」で、ユーザーが交流する「コミュニティ」のうち、異性との出会いを目的にしたコミュニティを一斉に削除したことを明らかにした。サイト健全化策の一環。


 一斉削除、というのはやや穏やかではないように思えます。その根拠としては、
 同社は昨年12月1日の改正出会い系サイト規制法施行などに伴い、利用規約を改定。新たに「面識のない異性との性交、わいせつな行為、出会い等を主な目的として利用する行為」の禁止を規約に加えた。

 という部分なのでしょう。

 しかしながら、これが果たして「健全化」に繋がるのかは甚だ疑問です。そもそも、SNSにおける「健全」の定義とは何なのでしょうか。
 業者が仲介料金を取ったり、あるいは売春などの行為が行われているような「出会い」の斡旋は兎も角、ユーザーが自発的に出会い、その結果恋に落ちたり肉体関係を持つことは、少なくとも成人したユーザーであれば、当たり前のことではないのでしょうか。
 そう考えれば、少なくとも18歳以上が使用してきた従来のmixiであれば、性的な干渉を含む「出会い」は許容されて然るべきですし、それだけで「健全でない」とする理由にはなり得ません。(青少年保護育成条例の対象は18歳未満ですしね。)

 となれば、今回規制に至った理由は、
 mixiは、昨年12月10日から、18歳以上としていた年齢制限を緩和し、15歳〜17歳も利用できるようにしている(未成年はコミュニティは利用できない)。

 というところなのですが、引用したように15〜17歳はコミュニティ機能を利用できません。言い換えれば、どれだけ「不健全な」コミュニティがあっても、関係なく、「健全な範囲」でmixiが利用できたのです。とすると、今回の削除は果たしてこれが理由なのか、いまいち説明がつかない部分がでてきてしまいます。


 ところで、
 今年1月には、健全なモバイルサイトを認定する民間機関・モバイルコンテンツ審査・運用監視機構(EMA)に、未成年も利用できる健全サイトと認定されている。

 と記事に書かれています。言い換えれば「健全である」というお墨付きがあるわけで、そのような状態でコミュニティを萎縮させてまでさらなる「健全化」を行う理由はどこにあるのでしょうか。

 「青少年も入ってくる場なので、未成年以外の部分についても未成年と同じようなガイドラインを適用する」というスタンスであるのなら、前述のようなコミュニティ削除については理解できなくもありません。
 ところが、そうだとすると今度は、mixiのスポンサー広告の中に、携帯電話での成人向けの(有り体に言えばエッチな)広告が配信されている、という部分の説明がつきません。
(参考)
 確かに携帯版mixiの広告はどうかしてると思った from Macforest Weblog
mixi携帯の卑猥なマンガのバナーが不快でしかたないです…。 from Yahoo!知恵袋

続きを読む >>

calendar
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
<< July 2017 >>
sponsored links
selected entries
categories
archives
recent comment
recent trackback
recommend
links
profile
search this site.
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM