スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


「ガジェット」に潜む罠

  ITmediaさんのmixiアプリ運営元サーバに改ざん 350万人利用の「マイミク通信簿」など停止という記事より。
 事態の遷移は2/222/24(1) (2)2/25に書いた通りで、起きた事件だけを限定的に捉えれば「mixiにアプリケーションを提供している会社のサーバーが何らかの理由で改竄され、危険性のあるリンクが貼られていた」ことです。ですので、その会社からのアプリケーションの提供を停止し、また、その会社も、記事にあるように
社内と外部のセキュリティ調査会社の調査を実施する
のは定石であり、対応として無難な範囲だと思います。


 ただ、前の記事にも書きましたが、今回の事件の本質は「サーバー管理に問題があったアプリ提供者に起因する事故」と片付けてしまうには、やや無理があると思います。

 そもそもmixiアプリというシステムの規模を考えた時、たとえば銀行等のようなレベルでのセキュリティを維持することは、費用対効果の面で無理があると言わざるを得ないでしょう。それどころか、アプリケーションのプラットフォームであるmixi以上のセキュリティを導入することも困難かもしれません。そもそもSaaSのように単体で動作させるものではなく、mixiに依存するものなのですから。

 そういった「運用のされ方」を鑑みると、そもそもmixiアプリの運営者に厳密なセキュリティを要求するのは無理があると思います。もちろんアプリの開発者の努力を否定するつもりはありませんが、mixi内部で用いられているであろうコードと同じ基準でプログラムのレビューが行われているのかどうかも判りませんし、運用はあくまでユーザー任せなのですから。「セキュリティ」という観点で考えるならば、「努力しているから大丈夫」という考え方は否定されるべきなのです。


 実のところ、これはmixiのアプリに限った話ではなく、例えばいわゆる「blogパーツ」的なものや、或いは一部のTwitterアプリのように「貴方のユーザーとパスワードを入力してください」と要求してくるようなもの、つまり何らかのWebアプリケーションをベースに、その一部として動くようなサービスでは全て起きうることです。(ただ、blogやtwitterと今回のmixiの違う点は、mixiは外見上は会員制でログインしないと閲覧できない、クローズドなサイトであり、ユーザーに実態とは異なる「安心感」を与えてしまう点はあります。)

 こういった危険性を持つかもしれないガジェットに対して、ユーザーやWebサイトの制作者はどう対応していくべきなのでしょうか。ざっと考えつく範囲だと、以下のような感じでしょうか。
【ユーザー】
●mixiのように外部のアプリケーションが呼べるサイトは、mixiそのものの安全性以外の要素に左右される危険があることを認識する
 →そのサイトでの個人情報の扱いなどを注意する
●セキュリティ対策ソフト(ウイルス対策ソフト等)をきちんと適用する

・・・2個目は別にこの問題に限らずよく言われることですが。

【サイト制作者側】
●外部からのアプリケーションの呼び出しを許可する場合、アプリケーションの性質だけでなく運営体制まで含めた審査をきちんと行う
 →今回に限って言えば、問題となった「空飛ぶ」の管理体制は杜撰そのものです。何しろ彼の会社が立ち上げた「自社アプリケーションのサポート用コミュニティ」では、2/27 16:30(JST)現在、まだ今回の件について公式に説明がなされていないようですから。開発能力とは別の次元で、もともと体質に問題があったと言わざるを得ません。結果論ですが。
●ユーザーにアプリケーションをロードさせるか判断させる
 →これも大切だと思います。現状ではmixiのプロフィールページにアプリケーションを表示するかどうかは、プロフィールの主のみが決定できますが、プロフィールの閲覧者にもその選択権を与えるべきでしょう。
●プラットフォームの設計
 →アプリケーションの提供者のドメインからしかデータを読めなくするような仕組み、などは本来あるほうが安全です。flashやjavascriptが絡むと非常に困難ですが。
●上記の話をすべて含めた、アプリケーションやユーザーへの啓蒙活動



 mixiに限らず、様々なネット上でのサービスを展開されている方にとって、今回の件は「対岸の火事」とせず、そういったアプリケーションやサービスの実現方式について再度、考え直すいいきっかけとなって欲しいものです。

mixiアプリの件、一段落のようです。

  本日(2/25 21:00 JST頃)、mixi運営事務局さんの方からメールを頂きまして、どうも「空飛ぶ」の会社のサーバーが改竄されていたらしく、セキュリティ調査のために他のアプリもすべて止める、とのことでした。

 現在(2/25 22:00 JST)私が確認した限りでは、先日の記事に書いたような問題は解消されていると見て良いと思います。


 「空飛ぶ」さんが悪意を持って何かしたわけでもなく、ある意味被害者だった、ということのようですが、やはり今回の件は少なからず考えるべきところがあるように思えます。

 散々語り尽くされた話ではありますが、「Webアプリケーションの提供者は容易に加害者に成りうる」という点については、私自身も気をつけていかないといけないな、と思います。


 それにしても、mixiアプリという仕様そのものについては、やはり不安を禁じ得ないな、という気がします。せめてコンテンツは全てmixi側のサーバーにアップロードし、そこでウイルススキャンなどをかけるような機能が最低限無いと、こういった問題はまたどこかで起きるのではないか、と思うのですが・・・。

mixiアプリの件

  昨日および一昨日に記事にしたmixiアプリの件ですが、本日やっとmixi運営事務所から連絡がありまして、とりあえず該当のアプリ自体は停止にされたそうです。(私も、メールよりやや遅ればせながら、2月24日 21:00 JST現在、問題のアプリはなくなっていることを確認しました。)
 mixiの運営さんのほうで、現在、「空飛ぶ」のほうに事実確認を行っている途中のようです。

 当面の脅威は無くなったのかもしれませんが、少し安心できるかな、と思います。
 それでも、何故このような事態になったのか、「空飛ぶ」さんのどういった点に問題があり、今後通常運用されているアプリも含めてどうやって再発を防止していくのか、が明確にならない限りは「無くなった」と断言していいわけではないでしょうけれども。

 それにしても、ログインしている形跡はあるのに何ら発表を行わないあたり、「空飛ぶ」さんの「臭いものに蓋をする」体質は相当なものですね。これでは、こういったセキュリティ事故が起きるのも「さもありなん」だと思います。


2010 02/25 23:20 JST 追記
最新の状況は
こちらに書きました。現在はかなり安全な状態になっています。

mixiアプリが危険な件、幾つか追記。

  まず、件のドメインですが、Norton Safe Webを見る限り真っ黒ですね。やはり、現在問題がないからといって今後も安全とはとても言えないレベルです。

 それから、mixiのシステム上の不備、といいますか……。
 問題のアプリは「開発中」なので、一般ユーザーは使用できません。使用できたら困りますが。
 mixiの「アプリケーションを通報する」機能は、そのアプリケーションのユーザーしか通報できないので、開発中のアプリケーションについてはどれ程酷い問題があろうと、開発者に直接通報はできないことになります。
 また、開発者のアカウントへのメッセージも、公認アカウントであるという理由でそもそも送信できないようになっているようなので、直接連絡を取ることができません。

 ということでmixiに直接問い合わせをするしかにのですが、果たしていつ対応されるやら、といったところです。

 繰り返し書きますが、「マイミク通信簿」「今日すべきこと」等のアプリを開発している「空飛ぶ」のホームは開かないよう気をつけてください。いつ頃対策が為されるかは判りませんが、過去にマルウェアを配布していた危険なドメインからの画像が貼り付けられているのが現状です。(2010年2月24日 0:00 JST現在)

 管理体制を考えると、同社のアプリ全体が危険な気がしなくもないのですが・・・流石にそれは穿ちすぎ、でしょうかね。でも、アプリにセキュリティホールがある、というなら兎も角、危険なドメインの画像ファイル(しかも正常に表示できない)をわざわざ貼るって、普通にアプリを開発している限りは起きないので、余程、杜撰かつ不思議な作り方をしているようにしか思えないのですが。それとも何かマルウェアに感染しているのでしょうかね?


ちょっと判りにくいので追記(2010 2/24 0:20 JST)
 開いたら危険なのは、mixi内にある「空飛ぶ」のページ(プロフィールのページ)です
 私が見た限りでは、彼の会社のホームページは問題ないように見受けられます・・・が、如何せん、こういう状態なので安全とは思わないほうがいい気がしなくもないです。

2010 02/25 23:20 JST 追記
最新の状況は
こちらに書きました。現在はかなり安全な状態になっています。


カテゴリーの追加

  昨日の記事を書いてからふと思ったのですが、少しカテゴリーに齟齬があったので、「セキュリティ」というカテゴリを追加しました。ついでに過去の記事も一部、そちらに移動しようかと思います。

calendar
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< April 2017 >>
sponsored links
selected entries
categories
archives
recent comment
recent trackback
recommend
links
profile
search this site.
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM