世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。

　米国FaceTime Communicationsでセキュリティ・リサーチ・マネジャーを務めるクリス・ボイド（Chris Boyd）氏によると、プロフィールのコードに数行のコードを追加するだけで、プロフィールを閲覧したメンバーを、自分の「ビデオ・チャンネルの購読者」に自動的に追加できるという。

　閲覧者が「ビデオ・チャンネルの購読者」に追加されると、プロフィールの運営者は、その購読者（閲覧者）の行動を追跡することが可能になる。Boyd氏は、「MySpaceを悪用する意図がなければ、この問題は重要ではないかもしれない。しかしハッカーは、何十ものMySpaceアカウントを所有し、迷惑メールの送信や他人のプロフィールの書き換えなど、さまざまな悪事に利用している」と指摘したうえで、以下のように警告した。

　「ユーザーが意図しないところで特定ユーザーのビデオ・チャンネル購読者に追加されることは、MySpaceを悪用するハッカーらに、行動を追跡されるおそれがあるということだ。ハッカーはありとあらゆる手口を使って、だれが自分のプロフィールを見ているかを把握しようとしている」

　実際、この“追跡コード”を含むプロフィールは、増加傾向にあるようだ。Boyd氏はプロフィールに数行のコードを追加した事例が現れるようになったのは、2007年10月以降だと指摘する。

　なお、MySpaceは今年3月下旬にこの問題について通報を受けたが、まだ対策を講じていない。Boyd氏によると、同社は同氏に送った電子メールの中で、この問題を「システム・エラー」と表現したという。

　またBoyd氏は、「このセキュリティ問題は、性犯罪を捜査する当局にとっても足かせとなる」と指摘する。捜査当局は性犯罪者捜査の一環として、特定のMySpaceプロフィールを何週間も監視することがあるからだ。

　Boyd氏は、MySpaceユーザーの防衛策として、「だれかのビデオ・チャンネルの購読者に自動的に追加されたら、速やかに購読を解除し、MySpaceが問題を解決するまで、そのプロフィールを訪問しないようすることだ」とアドバイスしている。

　なお、URL「vids.myspace.com」を「Hosts File」（ドメイン名とWebサイトを対応づけるPCのシステム・ファイル）に追加することも有効だ。これにより、特定ドメインを指定して、遮断することができる。

(Jeremy Kirk/IDG News Serviceロンドン支局)