2010-09-23 07:17:27

Twitterの恐怖。

テーマ:ブログ
 ブログを書く時間が無いのに、ニュースは大量にあって、実に困ってます。


>Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け
http://www.itmedia.co.jp/news/articles/1009/21/news111.html

 大騒ぎになっているようですが、Twitterでは日常茶飯事のことです。


 ちょうど、このニュースが流れる直前まで、このブログ記事の題材にTwitterの脆弱性についてを扱おうとしていたのですが、実例が多すぎてまとめられないでいるうちに、このニュースが話題になりました。


 日本では昨年ごろから急速に、まるでSecondLifeを電通がプロデュースしていた時期のように不自然に話題になりましたが、Twitter自体は2006年から存在しています。

 日本でのTwitter利用者が急増した背景には「Twitterに登録しないと他人が成りすましされる」という問題があったため。最近まで誰でも完全匿名で登録できたので、成りすまし被害を防ぐには自分自身がTwitterに登録しなければならない、という事からも、Twitter社に危機管理意識が皆無であることがわかります。

 この「成りすまし騒動」によって、多数の著名人・芸能人がTwitterを始めることになりましたが、得をしたのはTwitter社だけです。



-----

 そもそも、Twitterには脆弱性が無かった時期がありません

 海外では、Twitterの脆弱性を指摘してもなかなか対策されず、脆弱性を改善するには実際にその脆弱性を使ってTwitter運営のアカウントハックをしないと直してもらえないという風潮が出来ていたほどです。


 現在も、色々とセキュリティに関する問題は山積みです。

 Twitterはブラウザによっては「危険なサイト」として表示されることがありますが、「httpsページなのに暗号化されていないページ」という、セキュリティの基本が出来ていない事が原因です。


 特に危険なのが、…これも基本的な問題なのですが、Twitterが「OAuth認証」を使っている事です。

>「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く
http://d.hatena.ne.jp/FukayaAruto/20100803/twitter_oauth

 まあ色々と書いてありますが、Twitterアプリを使う事で「アクセストークン」という「赤の他人に鍵を預ける事」ができるようになります。事実上、アクセストークンという「他人のTwitterの鍵」を得たTwitterアプリ製作者は、何の制限も無く自由に他人の鍵を使うことが出来ます


 実際にTwitterアプリのOAuth認証を拒否すると、「了解しました。あなたは○○(Twitterアプリ名)のアクセスを拒否したので、あなたのTwitterアカウントを操作できません」と表示されます。


 Twitter側が「操作」と明言しているように、Twitterアプリを使うという事は、Twitterアプリ製作者に「アカウントを譲り、勝手に操作してもいいよ」と許可するのと同じなのです。


-----

 もちろん、Twitterをやっていない僕でもTwitterの危険性がわかっているように、被害は頻繁に起きています。

>「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
http://www.itmedia.co.jp/news/articles/0908/10/news015.html


>正/純ハッカーによる 脆弱性報告と、怒りと、行動的対策要求 #hack #twitter #security
http://togetter.com/li/52553

 ごく最近のTwitterの問題点を指摘している様子のようですが、もう、ほとんど間違い探しクイズ状態ですwww



>なるほど四時じゃねーの“ふぁぼらせ騒動”から作者・有名人の発言中心にツイッターセキュリティ問題を考える
http://togetter.com/li/40002

 OAuth認証を使っての軽度サイバーテロも行われていて、Twitterを使って犯人が自慢しています。
 最後には犯人に天誅が下りますので、Twitter利用者は一読してみると良いかも。


 そしてこの犯人「小池陸」は、Ascii.jpデジタルでの記事(インタビュアー盛田諒)では英雄的な扱いで記事にされています。
 またアスキーかよと。

 この小池陸という人物は、「小池スタイル」の元となった人物で、と書いても誰も知らないでしょうが、小池スタイルというものが誰も知らないところでテレビなどで取り扱われ、誰も知らないのに流行していることにされています。
 大体、立ってノートパソコンを使う程度のことで大騒ぎする人もいないでしょうし、見ても誰も凄いとは思わないでしょう。
 それなのに、いかにも流行しているようにメディアが取り扱っているのですから、誰かがわざと流行しているよう、流行させようと自作自演しているのでしょう。

 記事中では会社の名前が何故か伏せられていますが、検索してみた感じ「アマツ株式会社」のようです。
 韓国大好きな会社のようですから、興味のある方は調べてみると良いでしょう。


 また、Asciiデジタルの記事を書いた「盛田諒」は、自費出版詐欺で破産(踏み倒し?)した「新風舎」の関係者のようで、どうも誰一人まともな登場人物はいないようです

>新風舎の“自費出版”で眠れぬ日々~出版界のモラルは何処へ(1)
http://www.news.janjan.jp/media/0705/0704294603/1.php


 アスキーは、以前にも広告主であるセガの社員に殺害予告をしても公式な謝罪や報告をしなかったり、ろくでもない会社というイメージしかないのですが、このTwitterアプリでスパム行為をした犯人を問題視もせず祭り上げる姿勢は、IT関連に携わる一企業として致命的なほど重大な問題だと思うのですが。


 ちなみに小池陸は、ニコニコ動画メイン開発者の糸柳和法(ドワンゴ社員)と親友だそうで、言い換えれば小池陸という危険人物は「ニコ動」と「Twitter」という最近の日本のネットで絶大なシェアを持つコンテンツに直接的接点を持っているという事になります。


 この記事で印象深いのはこの一言でしょう。

>小池 でも、「四時」とかは人に言われてつくったものなので、その人から止めていいと言われるまでは、止められないんですよ。


 では小池陸は、いったい誰に命令されてサーバーテロ実験を行ったり、誰にテレビで小池スタイル発案者として祭り上げられているのでしょうか? まるで目立つスケープゴートを作っている様子のようで、もしそうであるなら相当に根の深い悪質な問題が隠されていると思うのですが。


-----

 また、Twitterの韓国版「TwitterKr」というものがあるそうです。

>[Twitter]韓国版のTwitter「twitterkr」を少し試してみた
http://twitter.g.hatena.ne.jp/klim0824/20091107/twitterkr

 「追記」のあたりを読めば、どれだけ恐ろしい事かわかるかと思います。
 日本でTwitterに登録したのに、韓国の会社がアクセス情報を持っている、という事でしょうか?

 インターネットがライバルであるはずで、ネガキャンばかりしてきたテレビなどのメディアが、一斉にTwitterをもてはやした理由はこのあたりにあるのでしょうか。


-----

 要点をまとめると、OAuthの”アクセストークン”で問題が起きた時に備え、twitterには「OAuth認証取り消し」というイモビライザー機能がついています。少なくともそれがtwitter社の言い訳です。

 ところが実際には、アクセストークンを受けた側はアカウント名もパスワードも自由に変更できます。こうなればイモビライザーは使えません。

 しかも被害者がtwitter社を訴えても「あんたOAuth認証に”はい”って答えたよね?それクレジットカードとパスワード添えて提出するのと同じだから。言ったもんねー」で済まされます。


 早い話が「ハッキングが合法化」されてしまっている現状なのです
 これはセキュリティーホールどころかセキュリティーという概念自身の崩壊です。


 Twitterでのセキュリティ問題の解決策は、ひとつです。
 Twitterを止めてください。

 極論のようですが、基本システムからサービスの末端まで、あちこちに不具合を内在したTwitterに「安全」の2文字はありません。


----------
AD
いいね!した人  |  コメント(0)  |  リブログ(0)

akatenjpnさんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

コメント

[コメントをする]

コメント投稿

AD

Ameba人気のブログ

Amebaトピックス

      ランキング

      • 総合
      • 新登場
      • 急上昇
      • トレンド

      ブログをはじめる

      たくさんの芸能人・有名人が
      書いているAmebaブログを
      無料で簡単にはじめることができます。

      公式トップブロガーへ応募

      多くの方にご紹介したいブログを
      執筆する方を「公式トップブロガー」
      として認定しております。

      芸能人・有名人ブログを開設

      Amebaブログでは、芸能人・有名人ブログを
      ご希望される著名人の方/事務所様を
      随時募集しております。