2011年12月版 無料サービスなら通信内容を記録してもいいの?


山本洋介山
bogus.jp

2012/1/13

 あけましておめでとうございます。本年もよろしくお願いします。

 もう遠い昔の出来事のような気がする2011年12月ですが、秋にタイムライン(TL)を賑わせたAndroidや標的型攻撃の問題はやや収まり、初旬はアグレッシブな高木先生による公衆無線LANサービスの問題点の追求で幕を開けました。

 何事もないまま冬休みに突入するかと思いましたが、世の中そんなに甘くはありません。勝手にサービスから退会させたり、個人情報をばらまいてしまったり、他人のメールを届けてしまったり、データを全部削除してしまったり……と、セキュリティクラスタの人々の思いもよらない事件が立て続けに発生し、12月も慌ただしく過ぎていきました。

ConnectFreeが勝手にユーザー情報を取得?

 いつでもどこでも高速なインターネットに接続したいという人も多いことから、最近は、いろいろな施設でさまざまな公衆無線LANサービスが提供されています。

 その1つとしてコネクトフリーが、無料で利用できる公衆無線LANサービス「ConnectFree」を開始しました。しかし早速、ユーザーとWebサイトの間に入り込んで何かしているのではないかという疑惑が持ち上がり、セキュリティクラスタでおなじみの高木浩光先生が直接、ConnectFreeが提供されているカフェに乗り込んで、調査を行いました。

 高木先生と調査に協力した人たちによって、このサービスでは、ユーザーのTwitter IDとFacebook ID、閲覧しているページのURLなどを勝手に記録していたことが分かりました。それだけでなく、ユーザーが閲覧しているWebサイトにあるAmazonのリンクを書き換えて、ConnectFreeのアフィリエイトを埋め込んでいたことも判明。自身の個人情報が無断で他社に記録されることに対する嫌悪感に加え、公衆無線LANサービスを提供する通信事業者として、ユーザーの通信内容を閲覧したり書き換えたりすることは言語道断ではないかということで、TLで大騒動になりました。

 中には「無料でインターネット接続させてもらっているのだから、それくらいは仕方ないのではないか」という意見もありましたが、こちらは少数派でした。

 この調査の後、コネクトフリー社長と高木先生が直接やりとりを行ったこともあり、ユーザーIDへの記録や通信の書き換えは、その後すぐに行われなくなりました。ただ、同社に協力していた企業や役員の名前もサイトから消え、サービスも縮小されてしまったようです。

本騒動につきまして、代表取締役兼開発責任者として、深く陳謝いたします。 http://t.co/aaMDcOmM
Dec 06 11 via EchofonFavoriteRetweetReply


コネクトフリーのサイト http://t.co/2uofwGbJ 、サービス紹介が簡素になって事例が無くなり、役員紹介もクリストファーだけになった。DNPもサービス停止したみたいだし、みんな逃げ足早いねえ、オマエらも十分責任あるんじゃねえの?
Dec 07 11 via SaezuriFavoriteRetweetReply

 このConnect Free事件の後、セブンイレブンの店頭などで提供されている公衆無線LANサービスの「7SPOT」についてもユーザー間で広く調査が行われ、ライバル業者へのアクセスがブロックされるなど、通信の検閲と書き換えが行われていることが分かりました。こちらについては現在も引き続きブロックは行われているようです。

 もし、これらの公衆無線LANサービスを電気通信事業者として提供するならば、通信のブロックや書き換え(=盗聴)は法的に行ってはいけないものです。しかし、「こうしたサービスは通信事業者によるサービスとして扱うべきかどうか不明なため法律面で整備が遅れているのではないか」という意見や、「他社のサービスのように公衆無線LANサービスと表現さえしなければ通信内容を制限してもいいのではないか」という意見も見られました。

【関連リンク】
NのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい

http://togetter.com/li/223293

Winny開発者の金子氏、無罪確定!

 最近でもまだ使用者がいるというP2P型ファイル交換ソフト「Winny」を開発した金子勇氏(47氏)は、著作権侵害行為への幇助容疑で2004年に逮捕・起訴され、長い間裁判が続いていました。12月20日に最高裁判所が検察側の上告を棄却する判決を下し、無罪が確定しました。「ソフトウェアの開発を萎縮させないためにも、犯罪の成立には著作権が侵害される具体的な状況を認識していることが必要だ」という判断だそうです。

【関連記事】
Winny開発者の無罪確定へ 検察側の上告棄却(ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1112/20/news104.html

 Winny開発者の逮捕については、「違法なファイルの交換にも使用可能なアプリケーションを開発することが犯罪に当たるのか」という点が長く議論になっていました。金子氏の無罪が確定したことで、プログラマーたちからは、アプリケーションの開発にかかわることで、ある日突然犯罪者になってしまうという危険から解放され、ほっと胸をなで下ろしているツイートが多く見られました。

 ただし、Winnyが主に違法なファイル交換のために使われていることは否めません。47氏も、Winnyが違法なファイル交換に使用されることが分かって作っていたと見られ、セキュリティ関係者や法律関係者の中には、判決に否定的な意見も見られました。

 また、ファイル交換ソフトの開発自体は無罪となりましたが、そこで権利者に無断でファイルを交換する行為は違法だということは一向に変わりありません。その点は勘違いしないでいただきたいところです。

Winnyの無罪を、おかしな前例を作られたくないという意味で開発者として喜ぶのはいいけど、何も考えずに「有用なツールを作っただけの包丁職人」と神格化するのはいただけない。どう見てもあれは権利侵害する目的で作られたものだし犯罪(に使う)ツールという意味ではウイルス作成と同じに思える
Dec 20 11 via EchofonFavoriteRetweetReply


本日の「お前が言うな」ツイートでした
Dec 20 11 via EchofonFavoriteRetweetReply


Winny事件の推移をざっくりとまとめてみました。はてなまとめのシステムがよく分からないので、問題がありましたら対応致します。 / “Winny事件の推移 - はてなまとめ(仮)” http://t.co/l9782qak
Dec 20 11 via HatenaFavoriteRetweetReply


障害? 不正アクセス? アメーバで5万人が強制退会

 年末には、「アメブロ」や「アメーバピグ」といったサービスでおなじみのアメーバで、ユーザー5万人が強制的に退会させられてしまうという騒ぎが発生しました。世の中には退会したくても退会できないサイトも多いというのに太っ腹な話ですが、退会したくないのにしてしまった人にとっては青天の霹靂(へきれき)です。TLでも、自動退会させられてしまって焦っているツイートを見掛けました。

 その後、復旧作業とともに原因が発表されたのですが、何と不正アクセスのせいだというのです。セキュリティクラスタ的にも注目せざるを得ないことになりました。その理由を考察する人も多数あり、「不正アクセスで5万人のユーザーがどのように退会するのか、意味が分からない」「悪用するならもう少し目立たないようにやるだろう」など、懐疑的なツイートが目立ちました。

こんにちわーむ的なものならともかく、強制退会させたら拡散性ないから、短時間で5万人にXSSとかCSRFでログイン中ユーザーに罠踏ませるというのは現実的でない(ので違うと思う)。a,b,cに偏ってるのも説明できない。
Dec 26 11 via TweetIrcGatewayFavoriteRetweetReply

 なお、復旧作業によって強制的に退会させられてしまったユーザーは会員に戻れたようです。しかし2012年1月現在も復旧作業が行われており、そのために今度は、なぜか退会できない状況になってしまったようです。

【関連リンク】
アメーバスタッフブログ:AmebaIDが退会状態になる(ログイン出来ない)トラブルに関しまして

http://ameblo.jp/staff/entry-11116586417.html

 もう1つ、セキュリティ問題ではありませんが、NTTドコモの「iモード」に代わるサービス「SPモード」において、メールアドレスが他人のものに変わってしまい、他人のメールが読めてしまうという障害が発生しました。

【関連記事】
ドコモがspモード障害で会見 10万人影響の可能性、スマホ特有の輻輳一因(ITmediaニュース)

http://www.itmedia.co.jp/news/articles/1112/21/news039.html

 当初TLでは、こちらも不正アクセスがあったのではないかと疑われたのですが、同社の説明により、IPアドレスと電話番号をひも付けてユーザー認証に使うという仕様の問題であることが判明。「そもそもIPアドレスをユーザー認証の代わりに使うな! ユーザーIDを使うべき」という意見が多数上がっていました。

セキュリティクラスタ、12月の小ネタ

 その他にも12月には以下のような話題がありました。2012年はどのような出来事がTLを騒がせるのでしょうか。楽しみですね。

  • 強制アップデートでIE 6、ついに引退!?
  • 発売されたばかりのPS Vitaでいきなり脆弱性が見つかった!?
  • スクエニに不正アクセス、180万人分の個人情報が漏えい
  • 無線LANアクセスポイントで使われるWPSのPINが簡単にブルートフォースできる!
  • 管理者権限を利用するとき、担当者がそれぞれノートに利用状況を書き記す運用って本当に安全?
  • PHPのセッションアダプション問題は本当に深刻な問題?
  • 冬休み前にはMicrosoft .NET Framework緊急アップデートで大騒ぎ
  • 2011年の締めに、ライブスター証券が人為的ミスで全データを消去したことが発覚
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年11月版へ    

Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH