2012年1月版 ユーザーの履歴情報は誰のもの?


山本洋介山
bogus.jp

2012/2/14

 お正月の記憶も遠い彼方へと去り、東京では久しぶりに雪が積もったりもした1月ですが、セキュリティクラスタは相変わらずです。

 スマートフォンアプリの自分勝手な情報収集にたくさんの異議の声が上がり、海外では、過剰な検閲につながりかねない法案に対し、抗議のDDoS攻撃が行われました。また、まとめサイト同士のいさかいがヒートアップし、不正指令電磁的記録罪による初の摘発者が出るなど、ことインターネットセキュリティに関しては、熱い話題が続きました。

アプリがユーザーの閲覧履歴を根こそぎ送信?

 スマートフォン関係では、1月に入っても引き続き、携帯電話会社の障害をはじめトラブルがたくさん起こりました。皆さんも記憶に新しいのではないでしょうか。

 中でも、スマートフォン向けアプリによるユーザー情報の収集活動は、まだまだお盛んなようです。いくつかのアプリが過剰に情報を収集していることが発覚し、Twitterでやり玉に挙がっていました。

 正月早々問題となったのは、iPhoneやAndroidで、雑誌やニュースなどを閲覧できる電子書籍アプリ「ビューン」です。このアプリは、ユーザーがどのページを見ているかという履歴情報などを無断で取得し、サーバに送信していることが明らかになりました。さらに別の電子書籍アプリ「マガストア」も同様に、ユーザーの履歴情報をサーバに送っていたことが明らかになりました。

 タイムライン(TL)では、履歴情報の勝手な送信自体を問題ととらえる意見が多数派でした。しかし、ビューン側としては、UDID(Unique Device Identifier、デバイス固有の識別子)と閲覧履歴の取得は「個人情報には当たらない」という判断の下、収集を続けていくようです。

【関連記事】
「ビューン」アプリのユーザー閲覧履歴取得、運営会社が説明(@ITNews)

http://www.atmarkit.co.jp/news/201201/13/viewn.html

 アプリによる情報収集に関する意見の中には、「Webサイトへアクセスする時だってログが取られるのだから、電子書籍アプリが履歴を取っても別に構わないじゃないか」という擁護の声もありました。しかし、“自分で購入し、自分の手元に置かれているアプリが閲覧情報を送信すること”と、“ユーザーが能動的にアクセスしに行くWebサイトがログを記録すること”の違いは大きいと考えている人が多いようです。

電子書籍のページ閲覧操作履歴を、Webのアクセスログと同一視して「何がいけないの?」という声が僅かながらあるようだが、Webは実現手段として当初からそれが必然であったために、歴史的に黙示の同意があると言えるのに対し、アプリはそうではない。
Jan 10 via Twitter for Mac Favorite Retweet Reply

 1月24日には、「家庭の医学」アプリが突然、アップデートを行いました。このアップデートでは、唐突に、情報収集の許諾を求める画面が表示されるようになりました。このため、実はこのアプリも閲覧履歴の収集を行っているのではないかという疑問の声が上がりました。もし、どの症状に関するページを見ていたかという履歴が送信されていれば、症例と個人が結び付くことから、プライバシー的に大きな問題となる可能性があります。しかしこのアプリについては、過去もこれからも履歴の収集は行わないと、公式には否定されています。

 さらに、通信キャリアであるau自体が、Android端末にプリインストールされている「au one Marketアプリ」の「通知バー」に、行動履歴や属性情報を利用したプッシュ広告を配信するという事件もありました。ユーザーの猛反発を受け、結局は停止してしまいました。

Megauploadの摘発、閉鎖に抗議のDDoS攻撃

 米議会に提出されていた著作権保護法案、SOPA/PIPAは、著作権侵害の可能性があるとの申し立てがあったサイトを、司法省が閉鎖できるようにするという法案です。しかし、インターネットに対する過剰な検閲の恐れがあるという理由から、反対の声も広がっていました。

 1月18日には「SOPA反対デー」(SOPA Blackout Day)として、英語版Wikipediaが丸一日サービスを止めるなど、数多くの海外サイトが抗議活動に踏み切りました。セキュリティ関係でも、いくつも停止したサイトがあったようです。

【関連記事】
なぜWikipediaは停止するのか――SOPA抗議活動をひもとく

http://www.atmarkit.co.jp/news/analysis/201201/18/sopa.html

 インターネットでは、米国のサーバや米国企業のサービスにアクセスするのが当たり前になっていることもあり、日本でも、SOPAは他人事ではないと心配するツイートも多数見られました。一連の抗議が功を奏したのか、審議はひとまず延期となった模様です。Webサイトがある日いきなり閉鎖されることは当面はなさそうで、一安心といったところです。

昨日の Megaupload事件と Anonymousによる攻撃についてまとめてみました。 「Anonymousによる大規模な DDoS攻撃 Operation Megaupload」 http://t.co/TDEbbknS
Jan 21 via Twitter for Mac Favorite Retweet Reply

 しかしながらタイミングがいいのか悪いのか、SOPA反対デーの翌日、世界最大級のファイル共有サイトであるMegauploadが、違法アップロードの温床になっていたという理由で捜索を受け、サイトは閉鎖、関係者が多数逮捕されることになりました。まるで抗議活動への当てつけとも取れるタイミングです。

【関連記事】
米司法省とFBI、MEGAUPLOADを著作権侵害容疑で遮断 関係者を逮捕(@ITNews)

http://www.atmarkit.co.jp/news/201201/20/megaupload.html

 この件に抗議したのが、この1年ですっかり有名になったAnonymousです。#OpMegauploadというミッション名で、RIAAをはじめとする著作権保護に関わる団体や音楽関連企業、FBIやホワイトハウスといった政府機関など、SOPA/PIPAに関係がありそうな団体に対してDDoS攻撃を行った結果、多数のサイトがアクセスできない状態になりました。

OpMegauploadは依然として攻撃を継続中。Anonymousによるチュートリアルでは、攻撃ツールとして、LOIC/HOIC/Pentbox/Slowloris/hping2/thc-ssl-dosなどをオススメ。http://t.co/NXUeKRZs
Jan 21 via Silver Bird Favorite Retweet Reply

 ただし、今回の#OpMegauploadのDDoS攻撃に関しては、自らの意思ではなく、リンクをクリックしただけで攻撃に荷担させられた一般ユーザーがいたという報道もありました。この行動に対しては、Anonymousの行動に理解を示すことの多いTwitterユーザーの間でも、否定的な意見が多かったです。

 またMegaupload閉鎖後、インターネットトラフィックの分析が発表された結果、そのかなりの割合をMegauploadが占めていたことが明らかになりました。この割合の大きさに驚いたというツイートも見かけました。

まとめサイト管理人にウイルス作成罪が初適用

 2011年6月に成立した改正刑法における「不正指令電磁的記録罪」、いわゆる「ウイルス作成罪」による逮捕者が出てしまいました。

【関連記事】
アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕(ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1201/26/news079.html

 この事件には、ウイルス作成罪初適用というインパクトもさることながら、まとめサイトの人間関係のごたごたが絡んでいました。「今日もやられやく」という人気まとめサイトの管理人が、別のまとめサイトの管理人に攻撃を仕掛け、脅していたというのです。こうした経緯から、セキュリティに興味がない人まで巻き込んで、TLはさらに賑わうことになりました。

ウィルス作成罪の初適用の件、「今日もやられやく」の管理人が「やらおん」の管理人に罪を着せようとしたということみたい。まとめブログの世界ってとんでもないことになってる雰囲気? http://t.co/GZu0WrQF
Jan 26 via Tween Favorite Retweet Reply

 また、逮捕理由についての報道がいまひとつあいまいなことに加え、犯行内容がいわゆる「ウイルス」とはあまり関係ないように見えたことから、経緯を考察するツイートも目立ちました。

 結局、Webアプリケーションの不備であるクロスサイトリクエストフォージェリ(CSRF)の脆弱性を悪用して相手にリンクを踏ませ、掲示板に書き込みを行わせ、これを使って相手を脅していたのだろう……という見方にまとまりました。しかし、「一般的なウイルスの作成や配布でなく、CSRFで逮捕されるのだろうか?」「となると、CSRFはウイルスなのだろうか?」という疑問を、たくさんの人が抱いたようです。

 そこで、さらにさまざまな意見が出てきました。結局のところ、手段がウイルスかどうかは関係なく、社会倫理に反する使われ方がなされた場合、不正指令供用罪に問われる可能性はあるとのことです。また今回の件では、CSRFという手法だけではなく、「脅迫」の手段として使われたことが問題だったようです。

 関連して、「不正指令電磁的記録罪を『ウイルス罪』と置き換えて報道してしまうマスコミが悪いのではないか」というツイートや、適用の判断が警察に委ねられている点を懸念するツイートも多く見かけました。

そもそもの話をすると、この手の罪で逮捕された人間がやったことを見ると、不正指令電磁的記録を「コンピュータウイルス」と言い換えること自体が変なんだよな。ウイルスも含むけどもっと上の方のものを指してる。端的に言えば「マルウェア」全般。マルウェア罪と聞いたらすんなり頭に入ってくる。
Jan 27 via Tween Favorite Retweet Reply


セキュリティクラスタ、1月の小ネタ

 この他にも1月のセキュリティクラスタでは以下のようなことが話題となりました。2月はいったいどのようなことがTLを賑わせるのか楽しみですね。

  • Linuxカーネルに権限昇格の脆弱性、Androidにも影響あり!?
  • Android Marketの売上レポートに購入者の個人情報が思いっきり入るようになってしまった件
  • Amazonのバグで、ウィッシュリストを公開していると、他人から「砂」など好きなものを送り付けられるだけでなく、個人情報が抜かれてしまう
  • PINクラックで無線LANのパスワードが抜かれてしまう!
  • 宇宙航空研究開発機構(JAXA)が標的型攻撃にやられてNASAのパスワードも流出!?
  • 攻撃を逆探知し無力化する、防衛省の「対サイバー兵器」ってどうよ?
  • ビューティートークで有名なヴァーナルがSQLインジェクションでカード情報をまき散らされる
  • 大阪府警のサイトにXSSがあり、ここぞとばかりに大きくさらされる
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年12月版へ    

Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー


セキュリティクラスタまとめのまとめ 連載インデックス

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH