2010年12月24日(金) << 前の日記 | 次の日記 >>
これまでの12月24日 編集

■1 日本レコード協会のフィッシングサイト「LOVE MUSIC」[http://www.riaj.or.jp/lovemusic_cpn/][セキュリティ][mashup] このエントリーをはてなブックマークに追加

LOVE MUSIC日本レコード協会[http://www.riaj.or.jp/] が、 アクセスしてきた人のTwitterのパスワードを言葉巧みに聞き出す フィッシングサイト[http://www.riaj.or.jp/lovemusic_cpn/] を開設している。
「あなたの音楽愛をつぶやこう!」という文句にひかれて、コメントを書いて「ツィートする」ボタンを押すと、 公式ツイートボタン[http://twitter.com/goodies/tweetbutton] 経由でツイートされると思いきや、 なぜか、Twitter IDとパスワードを訊かれる。
LOVE MUSIC (ID/PW)LOVE MUSIC (trace)ここで入力したIDとパスワードは、日本レコード協会のサーバに送られ、このIDとパスワードを使用して、Twitterに書き込みが行われる仕組みだろう。
この問題、 ユニクロのフィッシング詐欺風サイトに見る群集心理[http://www.nantoka.com/~kei/diary/?20100526S3] や、 他のサイトのパスワードを聞き出すことを禁止できないものだろうか[http://www.nantoka.com/~kei/diary/?20100713S2] の記事でも取り上げたが、
  • 利用者の中には、パスワードを使いまわしている人もいる。パスワードを入力させる責任は大きいが、事業者はその責任を踏まえているか。
  • この様なサービスが増えてしまうと、社会全体のフィッシング詐欺耐性が著しく低下する。
という問題があり、 ユニクロのフィッシング詐欺風サイトに見る群集心理[http://www.nantoka.com/~kei/diary/?20100526S3] では、
他の会社がそのまんま真似た様なページを作ってしまうかも知れない。利用者のパスワードを入力させる仕様もそのままだ。
ということを指摘していたのだが、今回、また同じようなことが起きてしまった。

キャンペーンサイトのセキュリティについて[http://www.riaj.or.jp/lovemusic_cpn/news/cat24/index.html#page73]:

キャンペーンサイトのセキュリティについて[http://www.riaj.or.jp/lovemusic_cpn/news/cat24/index.html#page73] として、告知が出ている。
現在の仕様は、キャンペーンサイト内のFlashによる演出を目的として、twitterのユーザーネームとパスワード入力をお願いしたものであり、 システム上での保存は行っておりません。
また、セキュリティにつきましても Twitterの推奨するOAuth認証を使用しておりますが、こちら側の説明不足があり、皆様にご心配、お手数をお掛けいたしましたこと重ねてお詫びいたします。
キャンペーンサイトのセキュリティについてパスワードは「保存していない」とのことだが、それは 「漏洩しない」ということを意味しない。 仕様上は保存しない積りだったが、なぜかログファイルに書き出されているかも知れないし、セキュリティホールがあって漏れ出しているかも知れない。
そもそも、 他のサイトのパスワードを入力させる仕様のサービスを提供する様な組織の、セキュリティに関する表明が信用できるはずがない
しかも、パスワードを入力させた上でOAuthを使って連携アプリとして登録してしまう仕様であるという *1
このサービスを設計したヒトは、 致命的にTwitterの認証の仕組みに対する理解が欠如しているか、あるいはパスワードを盗み出したかったか のいずれかに違いない。
いずれにせよ、この様な第三者の提供するサービスにパスワードを入力してはならないし、また、 この様なサービスの存在を許してはならない
その意味で、 キャンペーンサイトのセキュリティについて[http://www.riaj.or.jp/lovemusic_cpn/news/cat24/index.html#page73] が、 パスワードを入力させていたことの非を一切認めてないのは非常に残念 だ。

この記事に頂いたコメント

Re: 日本レコード協会のフィッシングサイト「LOVE MUSIC」 by hide10    2010/12/25 07:28
iPhoneアプリ「AskSmart.ly」も、パスワードを入力させる仕様でした。 こちらのページ...

■ 関連記事

今日のつぶやき

以上、1 日分です。

指定日の日記を表示

前月 2010年12月 翌月
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project