2010年05月26日(水) << 前の日記 | 次の日記 >>
これまでの05月26日 編集

■3ユニクロのフィッシング詐欺風サイトに見る群集心理[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ユニクロ[http://www.uniqlo.com/jp/] が、26周年を記念して、 Twitter連動型サイトを公開[http://japan.cnet.com/marketing/story/0,3800080523,20413873,00.htm] している。
ユニクロは、これまでにもTwitter連動型の広告を送りだして来ており、上手くTwitterとの連携を模索しつつあるなと感心していたのだけれども、今回のは問題ありだ。
タイムラインで行列に並んでいる人を見つけて、特設サイトにアクセスすると、たくさんの人がつぶやきながら行列に並んでいる。 アカウント入力画面行列に並ぶボタンが設置されており、そのボタンをクリックすると、アカウント入力画面が表示されて、TwitterのIDとパスワードを入力しろという。
実際、多くの人が並んでいる訳だから、IDとパスワードを入力したのだろうけれども、こういうやり方を広めてもらっては、社会全体の、フィッシング詐欺に対するぜい弱性が低下する。
「みんながやっているから」「UNIQLOは信用できる会社だから」「クールに見えるサイトだから」「httpsになっているから」許されることではない。むしろ、信用されるサイトだからこそ、責任が重いと考える。
この特設ページは、きっと話題になって、他の会社がそのまんま真似た様なページを作ってしまうかも知れない。利用者のパスワードを入力させる仕様もそのままだ。
毎回、ユーザIDとパスワードを入力させるのは、嫌がられるという判断で、パスワードを保存してしまうサイトが作られるのは時間の問題であろう。
心あるプログラマーは、利用者のサードパーティのパスワードを受けとることは、自分のサービス以外の、責任負担不可能な責任を負うことになることを懸念するだろうが、上に作れと言われれば、良心に呵責を感じながらも実装せざるを得なくなることはたくさんの実例が証明している。
この様なサービスが増えてしまうと、社会全体のフィッシング詐欺耐性が著しく低下する。 ユニクロ[http://www.uniqlo.com/jp/] としても望むところでは無かろう。
利用者のパスワードは、利用者自身とサービス提供者だけが知りうる。他の第三者には絶対に明かさない。この原則が破られれば、パスワードによる認証は崩壊するのだから、危ない橋をみんなで渡る習慣を付けさせるのは止めて頂きたい。
まさにそのために、 OAuth[http://ja.wikipedia.org/wiki/OAuth] の様な仕組みがちゃんと用意されているのだから。

個人情報が漏洩していると言われているのは誤解:

個人情報が漏えいしているという情報が流れているようだが、実際のところは、
http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt
と言ったURLから、行列に並んでいるユーザのIDやTweetが取得できるだけの様だ。
従って、「個人情報漏えいが起きている」と言うのは誤解だと思われる。

残念ながら…:

世の中、アクセスする前に予めパスワードを変えておいたり、そもそも全てのサービスで全く関連の無いパスワードを設定している人ばかりでは無い。
マトリックス風にクルマを避ける能力がある人が、大勢で並んで赤信号を渡ることによって、真似して渡った子どもがはねられる様なことになってはいけない。

UNIQLO LUCKY LINEに関するお知らせ[http://www.uniqlo.com/jp/corp/pressrelease/2010/05/052615_uq_web.html]:

公式見解が発表されたようだ。
当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。
データベースに保存していない(と主張する)のは当然である。第三者のパスワードを説明に反して保存していたとすれば、それはもはや犯罪行為である。
問題はそこではなくて、「(ユニクロ以外の)第三者が運営するサービスのパスワードを入力せよ」言うことであり、また、その様なサービスを流行させることによって、第三者のサイトにパスワードを入力することの抵抗感を薄れさせていることにある。
ユニクロが盗むと疑っているのではなく *1 、類似のサービスが増えて、その中にパスワードを盗む目的のものや、パスワードが流出する様なものが登場してくることを懸念している。

「nwitter」の違法性について考えてみる[http://takagi-hiromitsu.jp/diary/20080217.html#p01]:

高木先生も、
理由や目的の明示なく他サイトのパスワードを要求する行為は、必然性がないと言えるのであり、慎むべきである。
と、やや抑えた表現をしているが、「重要なサービスでphishingサイトが区別されにくくなるという実害が生じる。」という点については、問題であると指摘されていた様だ。
*1: 漏れる心配が無いとは主張していない。

■ 関連記事

今日のつぶやき

  • @makiuna あーそれはすごい!ぜひ見たいです。2010-05-26 07:00:04 Tween makiuna宛て
  • おはようございます。最近は非常に規則正しい生活をしていますが、起きている間、つぶやき続けてるじゃん! http://tc.nantoka.com/keikuma #TweetClock2010-05-26 07:04:12 Tween
  • カーリルが米国運営と言うのはそういうことかなぁと。日本の競争力が殺がれていく。 RT @milkya: 図書館OPACのクローラ作って動かしたら逮捕されちゃったみたいだよ!? http://bit.ly/bOjSQf2010-05-26 08:55:01 Tween
  • つかまりますよ! RT @minemaz: /bin/ping -i 1 -q -c 100 某所 したままだったので停めた。もうウチが借りてるIPアドレスじゃないし2010-05-26 13:07:33 Tween
  • 蔵書DBのスクレイピングか何かやろうとしてミスったかなぁ。DoSの意図が無かったとしたら、業務妨害にあたるかどうかあやしい - 図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 http://bit.ly/cEMHPZ2010-05-26 13:34:12 Tween
  • robots.txtに従わなかったから業務妨害で逮捕! http://bit.ly/ciEz612010-05-26 13:51:35 Tween
  • ユニクロの行列サイト。生のパスワードを入力させるのはマズイ。非常にマズイ。真似するヒトが増えたら取り返しのつかないことになる。ソーシャルウェブサービスに禍根を残す悪しき前例となりかねない。2010-05-26 13:59:46 Tween
  • 生のパスワードが取れるわけじゃ無くて、こんなリストが取れる。しかし、パスワードの送り先が別の会社のサーバで暗号化も無しか… http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt2010-05-26 14:17:34 Tween
  • FAOに対し、現段階では専門家を受け入れる考えはないと伝えたことを明らかにしています。 http://bit.ly/aj6F2I #kouteieki2010-05-26 14:23:12 Tween
  • いやぁ。別に公開されてるものだから、見ても良いんじゃないの? RT @minemaz: @keikuma アクセスしちゃったじゃないですか。あぶねえ2010-05-26 14:23:53 Tween
  • ユニクロの行列サイト。平文なのが問題では無くて、第三者のサイトのパスワードを要求するところが問題。みんなで並んで赤信号渡っちゃダメ。その内、まねして渡ってはねられる子どもが出る。 http://bit.ly/cN6ymx2010-05-26 15:00:58 Tween
  • それをシステムで対応したのが日本のIT導入の躓き。IT化を機にルールを変えない限り、IT化は富をもたらさないのです。 RT @hotta: 施設予約で「前の会議が終わり次第」という開始時刻をどうやって実現するか。ちなみに、その次に控えている会議も同じ条件だったりw2010-05-26 15:12:18 Tween
  • サードパーティのパスワードを入力させるサービスがひとたび疑われたら、信用はどこまでも失墜する。漏洩していないことを証明するのは悪魔の証明だからだ。李下に冠を正さず。瓜田に履を納れず。2010-05-26 16:25:17 Tween
  • ユニクロの行列の一覧を某テキストファイルで見ているのだけど、「パスワードが暗号化されずに送られるから危険」という認識が多い。問題にしているのはそこでは無いのだが。 http://bit.ly/96gHrA #uniqlo_line2010-05-26 16:37:10 Tween
  • httpsでアクセスする様に改良されている。素早い対応は感心だけれども… #uniqlo_line2010-05-26 18:05:47 Tween
  • ボタン1回押したら毎秒1人行列に並ぶプログラム書いたら逮捕されるかなぁ #uniqlo_line2010-05-26 18:08:13 Tween
  • UNIQLOのアレにOAuthを使ったとして、利用者の立場からリスクベネフィットを考えて、OAuth認証するかと言うと微妙なのだけど、OAuthだったら最悪、TLとDMを乗っ取られるだけで済むという安心感はあるな。2010-05-26 21:14:10 Tween
  • 【ソーシャルネットワークサービスの危機】暗号化されていないからとか、外注会社のサイトだからという問題では無いのです。こういうサイトがたくさん登場したら、2010-05-26 21:23:06 Tween
  • @seri_nazuna 恐らく、ユニクロ(と、その委託先)からパスワードが漏れることは無いだろうと思っています。ただ、こういうものが増えると、パスワードを詐取することを目的にする類似サイトも出てきて、容易に判断が付かなくなることを懸念します。2010-05-26 21:27:47 Tween seri_nazuna宛て
  • SSLにしたって、さらにOAuthにしたところで、このサービスはTwitterアカウントの全権委任をするに値しないサービスに思える。行列の人数が、Twitterが信頼できるメディアに成り得ないことを証明している。 http://bit.ly/cN6ymx #uniqlo_line2010-05-26 21:35:37 Tween
  • @seri_nazuna 慎重にならなくてはいけないのは残念です。ネットやセキュリティに関する知識が無くても、安心して使えてこそのネットなのです。「あぶないのを認識して避けて通ればいいじゃん」という考えでは、弱者はネットを安心して使えません。ネットの恩恵は弱者にこそ届くべきです。2010-05-26 21:47:41 Tween seri_nazuna宛て
  • パスワードを保存していない証明は悪魔の証明だから、そんな証明が必要になる様な仕様は、企画段階で間違っていたと言えよう。 #uniqlo_line2010-05-26 21:49:59 Tween
以上、1 日分です。

指定日の日記を表示

前月 2010年05月 翌月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project