<< mixiアプリの件、一段落のようです。 | main | mixi運営事務局さんに要望を出してみました。 >>

スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


「ガジェット」に潜む罠

  ITmediaさんのmixiアプリ運営元サーバに改ざん 350万人利用の「マイミク通信簿」など停止という記事より。
 事態の遷移は2/222/24(1) (2)2/25に書いた通りで、起きた事件だけを限定的に捉えれば「mixiにアプリケーションを提供している会社のサーバーが何らかの理由で改竄され、危険性のあるリンクが貼られていた」ことです。ですので、その会社からのアプリケーションの提供を停止し、また、その会社も、記事にあるように
社内と外部のセキュリティ調査会社の調査を実施する
のは定石であり、対応として無難な範囲だと思います。


 ただ、前の記事にも書きましたが、今回の事件の本質は「サーバー管理に問題があったアプリ提供者に起因する事故」と片付けてしまうには、やや無理があると思います。

 そもそもmixiアプリというシステムの規模を考えた時、たとえば銀行等のようなレベルでのセキュリティを維持することは、費用対効果の面で無理があると言わざるを得ないでしょう。それどころか、アプリケーションのプラットフォームであるmixi以上のセキュリティを導入することも困難かもしれません。そもそもSaaSのように単体で動作させるものではなく、mixiに依存するものなのですから。

 そういった「運用のされ方」を鑑みると、そもそもmixiアプリの運営者に厳密なセキュリティを要求するのは無理があると思います。もちろんアプリの開発者の努力を否定するつもりはありませんが、mixi内部で用いられているであろうコードと同じ基準でプログラムのレビューが行われているのかどうかも判りませんし、運用はあくまでユーザー任せなのですから。「セキュリティ」という観点で考えるならば、「努力しているから大丈夫」という考え方は否定されるべきなのです。


 実のところ、これはmixiのアプリに限った話ではなく、例えばいわゆる「blogパーツ」的なものや、或いは一部のTwitterアプリのように「貴方のユーザーとパスワードを入力してください」と要求してくるようなもの、つまり何らかのWebアプリケーションをベースに、その一部として動くようなサービスでは全て起きうることです。(ただ、blogやtwitterと今回のmixiの違う点は、mixiは外見上は会員制でログインしないと閲覧できない、クローズドなサイトであり、ユーザーに実態とは異なる「安心感」を与えてしまう点はあります。)

 こういった危険性を持つかもしれないガジェットに対して、ユーザーやWebサイトの制作者はどう対応していくべきなのでしょうか。ざっと考えつく範囲だと、以下のような感じでしょうか。
【ユーザー】
●mixiのように外部のアプリケーションが呼べるサイトは、mixiそのものの安全性以外の要素に左右される危険があることを認識する
 →そのサイトでの個人情報の扱いなどを注意する
●セキュリティ対策ソフト(ウイルス対策ソフト等)をきちんと適用する

・・・2個目は別にこの問題に限らずよく言われることですが。

【サイト制作者側】
●外部からのアプリケーションの呼び出しを許可する場合、アプリケーションの性質だけでなく運営体制まで含めた審査をきちんと行う
 →今回に限って言えば、問題となった「空飛ぶ」の管理体制は杜撰そのものです。何しろ彼の会社が立ち上げた「自社アプリケーションのサポート用コミュニティ」では、2/27 16:30(JST)現在、まだ今回の件について公式に説明がなされていないようですから。開発能力とは別の次元で、もともと体質に問題があったと言わざるを得ません。結果論ですが。
●ユーザーにアプリケーションをロードさせるか判断させる
 →これも大切だと思います。現状ではmixiのプロフィールページにアプリケーションを表示するかどうかは、プロフィールの主のみが決定できますが、プロフィールの閲覧者にもその選択権を与えるべきでしょう。
●プラットフォームの設計
 →アプリケーションの提供者のドメインからしかデータを読めなくするような仕組み、などは本来あるほうが安全です。flashやjavascriptが絡むと非常に困難ですが。
●上記の話をすべて含めた、アプリケーションやユーザーへの啓蒙活動



 mixiに限らず、様々なネット上でのサービスを展開されている方にとって、今回の件は「対岸の火事」とせず、そういったアプリケーションやサービスの実現方式について再度、考え直すいいきっかけとなって欲しいものです。

スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • 16:45
  • -
  • -
  • -
  • by スポンサードリンク

コメント
コメントする









この記事のトラックバックURL
トラックバック
ミクシィがついに登録制導入!
DAC/スパイスラボ神部です。 ミクシィがついに登録制導入しました。これで、これまで招待制だったためにリーチできなかった層にもリーチ出来るようになったはずです。...
  • ラボブログ
  • 2010/03/03 1:34 AM
calendar
    123
45678910
11121314151617
18192021222324
252627282930 
<< June 2017 >>
sponsored links
selected entries
categories
archives
recent comment
recent trackback
recommend
links
profile
search this site.
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM